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От авторов 


Эта книга является результатом многолетнего опыта преподавания авторами курсов сете- 
вой тематики в аудиториях государственных вузов и различных учебных центров, а также 
участия в научно-технических разработках, таких как проект Јапеї, связанный с созданием 
объединяющей сети кампусов университетов и исследовательских центров Великобрита- 
нии, и панъевропейские проекты СЕАМТ2, СЕАМТЗ и СЕАМТА. 


Основу книги составили материалы курсов «Проблемы построения корпоративных се- 
тей», «Основы сетевых технологий», «Организация удаленного доступа», «Сети ТСР/ЛІР», 
«Стратегическое планирование сетей масштаба предприятия» и ряда других. Эти материа- 
лы прошли успешную проверку в бескомпромиссной и сложной аудитории, состоящей из 
слушателей с весьма различным уровнем подготовки и кругом профессиональных инте- 
ресов. Среди них — студенты и аспиранты вузов, сетевые администраторы и интеграторы, 
начальники отделов автоматизации и преподаватели. Учитывая специфику аудитории, 
курсы лекций строились так, чтобы начинающий получил основу для дальнейшего изуче- 
ния, а специалист смог систематизировать и актуализировать имеющиеся знания. В соот- 
ветствии с такими же принципами написана и эта книга — она является фундаментальным 
курсом по компьютерным сетям, сочетающим широту охвата основных областей, проблем 
и технологий этой быстроразвивающейся области знаний с основательным рассмотрением 
деталей каждой технологии. 


Для кого эта книга 


Книга предназначена для студентов, аспирантов и технических специалистов, которые 
хотят получить базовые знания о’принципах построения компьютерных сетей, понять 
особенности традиционных и перспективных технологий локальных и глобальных сетей, 
изучить способы создания крупных составных сетей и управления такими сетями. 


Книга будет полезна начинающим спёциалистам в области сетевых технологий, имеющим 
только общие представления о работе сетей из опыта общения с персональными компью- 
терами и Интернетом, но стремящимся получить фундаментальные знания, позволяющие 
продолжить изучение сетей самостоятельно. 


Сложившимся\ сетевым специалистам книга может помочь в знакомстве с теми техно- 
логиями, с которыми им не приходилось сталкиваться в практической работе, систе- 
матизировать имеющиеся знания, стать справочником, позволяющим найти описание 
конкретного протокола, формата кадра и т. п. Кроме того, книга дает необходимую тео- 
ретическую основу для подготовки к сертификационным экзаменам таких компаний, 
как Сіѕсо и Јипірег. 


Студенты организаций высшего профессионального образования, обучающиеся по на- 
правлению «220000. Информатика и вычислительная техника» и по специальностям 
«Вычислительные машины, комплексы, системы и сети», «Автоматизированные маши- 
ны, комплексы, системы и сети», «Программное обеспечение вычислительной техники 
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и автоматизированных систем», могут использовать книгу в качестве рекомендованного 
Министерством образования Российской Федерации учебного пособия. 


Изменения в шестом издании 


Это издание в некотором смысле особенное — прошло ровно 20 лет с момента выхода книги 
в свет. Двадцать лет — это немаленький срок, за это время дети наших первых читателей под- 
росли и, возможно, стали интересоваться компьютерными сетями. И, возможно, у них в руках 
окажется 6-е издание книги «Компьютерные сети. Принципы, технологии, протоколы». Эта 
книга значительно отличается от той книги, которую читали их родители. Многое из того, 
что так интересовало читателей конца 90-х годов — например, правило четырех хабов, со- 
гласование сетей ІР и ІРХ или сравнение технологий 100УС-АпуГАМ и ЕО ПГ — совсем не 
упоминается в последних изданиях. За 20 лет немало технологий прошли полный цикл от 
модного термина и всеобщего признания к практически полному забвению. Каждое новое 
издание книги в той или иной мере отражало изменения ландшафта сетевых технологий. 


Не является исключением и данное издание — оно значительно переработано, около трети 
материала представляет собой или совсем новую информацию, или существенно перера- 
ботанное изложение тем, содержащихся в предыдущем, 5-м издании. 


Что же нового мы приготовили для читателей? 


Прежде всего, в книге появилась новая часть «Беспроводные сети». Она состоит из трех 
глав. 


В первой из них рассматриваются особенности физического уровня беспроводных линий 
связи, к которым относится специфика передающей среды, диапазон и характер распро- 
странения электромагнитных волн, виды искажений и методы борьбы с ними. Поскольку 
ни один из узлов беспроводной сети не может обойтись без антенны, устройствам данного 
типа в этой главе уделено значительное внимание — в частности, методам передачи с ис- 
пользованием нескольких антенн на передающей и принимающей сторонах, так называе- 
мым технологиям ММО. В данной главе рассматриваются технологии кодирования рас- 
ширенного спектра ЕН$5, 08555, СОМА и ОЕПМ, которые были разработаны специально 
для беспроводной передачи. 


Содержание второй главы сфокусировано на беспроводных локальных сетях \Л-Е! (ТЕЕЕ 
802.11), которые в секторе фиксированного беспроводного доступа к Интернету заняли та- 
кую же доминирующую позицию, что и сети Еегпей в локальных сетях. Глава, завершающая 
эту часть, посвящена мобильным сотовым сетям. Эта тема не изучалась в предыдущих из- 
даниях из-за того, что мобильные сети были преимущественно телефонными. Полный пере- 
ход мобильных сетей ІТЕ (4С) на протоколы стека ТСР/ТР, которые стали использоваться 
и для установления телефонных звонков, и для доступа в Интернет, изменил эту ситуацию. 
В главе рассматриваются эволюция технологий мобильных сетей различных поколений, 
мобильные версии протоколов 1РУ4 и [Руб, основные принципы построения сетей 1ТЕ; дан 
обзор архитектуры сетей 5С, которые намерены вобрать в себя самые последние достижения 
компьютерных сетей и стать основным типом сетей доступа для интернета вещей. 


Описание протокола ГРуб значительно переработано и расширено — теперь этому протоко- 
лу посвящена отдельная глава. Распространение ГРуб неуклонно растет, и более глубокое 
понимание этого протокола стало важным для современного сетевого специалиста. 


22 От авторов 


За последние годы утвердилась концепция программируемых компьютерных сетей, по- 
этому в книгу добавлены разделы, описывающие технологии программно определяемых 
сетей 5ОМ и виртуализации сетевых функций МЕУ. 


Полностью переработана часть, посвященная технологиям первичных сетей $ОН, ОТМ 
и О\ЮМ. 


И наконец, значительно увеличилось количество вопросов и задач. Для сохранения прием- 
лемого объема книги авторы применили тот же прием, что и при подготовке предыдущего 
издания: некоторые разделы вынесены на веб-сайт поддержки данной книги ммм.оііѓег. 
со.ик. Для ссылки на материалы, помещенные на сайт, используется значок (5) в соответ- 
ствующих местах книги. 


Мы с благодарностью примем ваши отзывы по адресу місіог.оіїег@јіѕс.ас.ик и паапа@оШег. 
СО.иК. 
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О Глава 1. Эволюция компьютерных сетей 

О Глава 2. Общие принципы построения сетей 

О Глава 3. Коммутация каналов и пакетов 

О Глава 4. Стандартизация и классификация сетей 


О Глава 5. Сетевые характеристики и качество обслуживания 


Процесс познания всегда развивается по спирали. Мы не можем сразу понять и осознать сложное 
явление, мы должны рассматривать его с разных точек зрения, в целом и по частям, изолированно и во 
взаимодействии с другими явлениями, накапливая знания постепенно, время от времени возвращаясь 
к уже, казалось бы, понятому и с каждым новым витком все больше проникая в суть явления. Хорошим 
подходом является первоначальное изучение общих принципов некоторой области знаний с последу- 
ющим детальным рассмотрением реализации этих принципов в конкретных методах, технологиях или 
конструкциях. Первая часть книги и является таким «первым витком» изучения компьютерных сетей. 


Изучение общих принципов построения компьютерных сетей поможет вам в дальнейшем быстрее 
разбираться с любой конкретной сетевой технологией. Однако известное высказывание «Знание 
нескольких принципов освобождает от запоминания множества фактов» не стоит воспринимать 
буквально — хороший специалист, конечно же, должен знать множество деталей и фактов. Знание 
принципов позволяет систематизировать эти частные сведения, связать их друг с другом в стройную 
систему и тем самым использовать более осознанно и эффективно. Конечно, изучение принципов 
перед изучением конкретных технологий — задача непростая, особенно для читателей с практиче- 
ским складом ума. Кроме того, всегда есть опасность неверного понимания какого-нибудь общего 
утверждения без проверки его в практической реализации. Поэтому мы просим читателей поверить 
нам пока на слово, что игра стоит свеч, а также последовать совету: в ходе изучения материала по- 
следующих глав книги время от времени возвращайтесь к теоретическим вопросам и проверяйте 
себя, так ли вы понимали те или иные механизмы, когда изучали их впервые. 


Часть, а вместе с ней и книга, открывается главой об эволюции компьютерных сетей. История любой 
отрасли науки и техники позволяет не только удовлетворить естественное любопытство, но и глубже 
понять сущность основных достижений в этой отрасли, осознать существующие тенденции и оценить 
перспективность тех или иных направлений развития. 


В следующих двух главах рассматриваются фундаментальные концепции компьютерных сетей — 
коммутация, маршрутизация, мультиплексирование, адресация. Изучаются методы продвижения 
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пакетов — дейтаграммная передача, передача с установлением логического соединения и техника 
виртуальных каналов. 


Важной темой данной части книги является рассматриваемая в четвертой главе стандартизация 
архитектуры компьютерной сети, идеологической основой которой служит модель взаимодействия 
открытых систем (0581). 


Последняя глава этой части книги посвящена сетевым характеристикам и проблемам качества 
обслуживания. Новая роль компьютерных сетей как основы для создания следующего поколения 
публичных сетей, предоставляющих все виды информационных услуг и переносящих данные, а также 
аудио- и видеотрафик, привела к проникновению методов обеспечения качества обслуживания прак- 
тически во все коммуникационные технологии. Таким образом, концепции качества обслуживания, 
которые достаточно долго рассматривались как вспомогательное направление сетевой отрасли, 
вошли в число базовых принципов построения компьютерных сетей. 


ГЛАВА 1 Эволюция компьютерных 
сетей 


Два корня компьютерных сетей 


Компьютерные сети, которым посвящена данная книга, отнюдь не являются единствен- 
ным видом сетей, созданным человеческой цивилизацией. Даже водопроводы Древнего 
Рима можно рассматривать как один из наиболее древних примеров сетей, покрывающих 
большие территории и обслуживающих многочисленных клиентов. Другой, менее экзо- 
тический пример — электрические сети. В них легко найти аналоги компонентов любой 
территориальной компьютерной сети: источникам информационных ресурсов соответ- 
ствуют электростанции, магистралям — высоковольтные линии электропередачи, сетям 
доступа — трансформаторные подстанции, клиентским терминалам — осветительные 
и бытовые электроприборы. 


Компьютерные сети, называемые также сетями передачи данных, являются логическим 
результатом эволюции двух важнейших научно-технических отраслей современной цивилиза- 
ции — вычислительной техники и телекоммуникационных технологий. 


С одной стороны, компьютерные сети представляют собой группу компьютеров, согласо- 
ванно решающих набор взаимосвязанных задач, обмениваясь данными в автоматическом 
режиме. С другой стороны, компьютерные сети могут рассматриваться как средство переда- 
чи информации на большие расстояния, для чего в них применяются методы кодирования 
и мультиплексирования данных, получившие развитие в различных телекоммуникацион- 
ных системах, например телефонных сетях (рис. 1.1). 


Эволюция 
телекоммуникаций 


Эволюция 
компьютерных 
сетей 


Рис. 1.1. Эволюция компьютерных сетей на стыке вычислительной техники 
и телекоммуникационных технологий 
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Первые компьютерные сети 


Системы пакетной обработки 


Обратимся сначала к компьютерному корню вычислительных сетей. Первые компьютеры 
1950-х годов — большие, громоздкие и дорогие — предназначались для очень небольшого 
числа избранных пользователей. Часто эти монстры занимали целые здания. Такие ком- 
пьютеры не были предназначены для интерактивной работы пользователя, а применялись 
в режиме пакетной обработки. 


Системы пакетной обработки, как правило, строились на базе мейнфрейма — мощного 
и надежного компьютера универсального назначения. Пользователи подготавливали пер- 
фокарты, содержащие данные и команды программ, и передавали их в вычислительный 
центр (рис. 1.2). Задания нескольких пользователей группировались в пакет, который 
принимался на выполнение. Оператор мейнфрейма вводил карты пакета в компьютер, 
который обрабатывал задания в многопрограммном режиме, оптимизируя распределение 
процессора и устройств ввода-вывода между заданиями для достижения максимальной 
производительности вычислений. Распечатанные результаты пользователи получали 
обычно только на следующий день. Таким образом, одна неверно набитая карта означала 
как минимум суточную задержку. Конечно, для пользователей интерактивный режим 
работы, при котором можно с терминала оперативно руководить процессом обработки 
своих данных, был бы удобнее. Но интересами пользователей на первых этапах развития 
вычислительных систем в значительной степени пренебрегали. Во главу угла ставилась 
эффективность работы самого дорогого устройства вычислительной машины — процессо- 
ра, даже в ущерб эффективности работы использующих его специалистов. 


Мейнфрейм Устройство 
ввода 


Пользователи с заданиями на выполнение вычислительных работ 


Рис. 1.2. Централизованная система на базе мейнфрейма 
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Многотерминальные системы — прообраз сети 


По мере удешевления процессоров в начале 60-х годов появились новые способы орга- 
низации вычислительного процесса, которые позволили учесть интересы пользователей. 
Начали развиваться интерактивные многотерминальные системы разделения времени 
(рис. 1.3). В таких системах каждый пользователь получал собственный терминал, с помо- 
щью которого он мог вести диалог с компьютером. Количество одновременно работающих 
с компьютером пользователей определялось его мощностью: время реакции вычислитель- 
ной системы должно было быть достаточно мало, чтобы пользователю была не слишком 
заметна параллельная работа с компьютером других пользователей. 


Мейнфрейм 


Терминал 


Рис. 1.3. Многотерминальная система — прообраз вычислительной сети 


Терминалы, выйдя за пределы вычислительного центра, рассредоточились по всему 
предприятию. И хотя вычислительная мощность оставалась полностью централизован- 
ной, некоторые функции — такие как ввод и вывод данных — стали распределенными. 
Подобные многотерминальные централизованные системы внешне уже были очень по- 
хожи на локальные вычислительные сети. Действительно, рядовой пользователь работу 
за терминалом мейнфрейма воспринимал примерно так же, как сейчас он воспринимает 
работу за подключенным к сети персональным компьютером. Пользователь мог получить 
доступ к общим файлам и периферийным устройствам, при этом у него поддерживалась 
полная иллюзия единоличного владения компьютером, так как он мог запустить нужную 
ему программу в любой момент и почти сразу же получить результат (некоторые далекие 
от вычислительной техники пользователи даже были уверены, что все вычисления вы- 
полняются внутри их дисплея). 


Многотерминальные системы, работающие в режиме разделения времени, стали прообразом 
локальных вычислительных сетей. 
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Однако до появления локальных сетей нужно было пройти еще большой путь, так как 
многотерминальные системы, хотя и имели внешние черты распределенных систем, все 
еще поддерживали централизованную обработку данных. 


К тому же потребность предприятий в создании локальных сетей в это время еще не 
созрела — в одном здании просто нечего было объединять в сеть, так как из-за высокой 
стоимости вычислительной техники предприятия не могли себе позволить роскошь при- 
обретения нескольких компьютеров. В этот период был справедлив так называемый закон 
Гроша, который эмпирически отражал достигнутый уровень технологии. В соответствии 
с этим законом производительность компьютера была пропорциональна квадрату его 
стоимости. Отсюда следовало, что за одну и ту же сумму было выгоднее купить одну 
мощную машину, чем две менее мощных — их суммарная мощность оказывалась намного 
ниже мощности дорогой машины. 


Первые глобальные сети 


А вот потребность в соединении нескольких компьютеров, находящихся на большом рас- 
стоянии друг от друга, к этому времени уже вполне назрела. Началось все с решения более 
простой задачи — доступа к отдельному компьютеру с терминалов, удаленных от него на 
многие сотни, а то и тысячи километров. Терминалы соединялись с компьютером через 
телефонные сети с помощью модемов, позволив многочисленным пользователям получать 
удаленный доступ к разделяемым ресурсам мощных суперкомпьютеров. Затем появились 
системы, в которых наряду с удаленными соединениями типа терминал — компьютер были 
реализованы и удаленные связи типа компьютер — компьютер. 


Разнесенные территориально компьютеры получили возможность обмениваться данными 
в автоматическом режиме, что, собственно, и является базовым признаком любой вычисли- 
тельной сети. 


На основе подобного механизма в первых сетях были реализованы службы обмена фай- 
лами, синхронизации баз данных, электронной почты и другие, ставшие теперь традици- 
онными сетевые службы. 


Итак, хронологически первыми появились глобальные сети (ММае Агеа Мемогк, МАМ), то есть 
сети, объединяющие территориально рассредоточенные компьютеры, возможно, находящиеся 
в различных городах и странах. 


Именно при построении глобальных сетей были впервые предложены и отработаны многие 
основные идеи, лежащие в основе современных вычислительных сетей. Такие, например, 
как многоуровневое построение коммуникационных протоколов, концепции коммутации 
и маршрутизации пакетов. 


Глобальные компьютерные сети очень многое унаследовали от других, гораздо более 
старых и распространенных глобальных сетей — телефонных. Главное технологическое 
новшество, которое привнесли с собой первые глобальные компьютерные сети, состояло 
в отказе от принципа коммутации каналов, на протяжении многих десятков лет успешно 
использовавшегося в телефонных сетях. 


Выделяемый на все время сеанса связи составной телефонный канал, передающий информа- 
цию с постоянной скоростью, не мог эффективно использоваться пульсирующим трафиком 
компьютерных данных, у которого периоды интенсивного обмена чередуются с продолжи- 
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тельными паузами. Натурные эксперименты и математическое моделирование показали, что 
пульсирующий и в значительной степени не чувствительный к задержкам компьютерный 
трафик гораздо эффективнее передается сетями, работающими по принципу коммутации 
пакетов, когда данные разделяются на небольшие порции — пакеты, которые самостоятельно 
перемещаются по сети благодаря наличию адреса конечного узла в заголовке пакета. 


Так как прокладка высококачественных линий связи на большие расстояния обходится 
очень дорого, то в первых глобальных сетях часто использовались уже существующие 
линии связи, изначально предназначенные совсем для других целей. Например, в течение 
многих лет глобальные сети строились на основе телефонных каналов тональной частоты, 
способных в каждый момент времени вести передачу только одного разговора в аналоговой 
форме. Поскольку скорость передачи дискретных компьютерных данных по таким каналам 
была очень низкой (десятки килобит в секунду), набор предоставляемых услуг в глобаль- 
ных сетях подобного типа обычно ограничивался передачей файлов (преимущественно 
в фоновом режиме) и электронной почтой. Помимо низкой скорости такие каналы имеют 
и другой недостаток — они вносят значительные искажения в передаваемые сигналы. По- 
этому протоколы глобальных сетей, построенных с использованием каналов связи низкого 
качества, отличались сложными процедурами контроля и восстановления данных. Типич- 
ным примером таких сетей являются сети Х.25, разработанные еще в начале 70-х годов. 


ПРИМЕЧАНИЕ — 


При написании этой главы авторы столкнулись с дилеммой: невозможно рассказывать об истории от- 
расли, не называя конкретные технологии и концепции. Но в то же время невозможно давать пояснения 
этих технологий и концепций, так как читатель, перелистывающий первые страницы, еще не готов к вос- 
приятию объяснений. Авторы пошли по пути компромисса, отложив на будущее исчерпывающие по- 
яснения многих терминов ради того, чтобы в самом начале изучения компьютерных сетей читатель имел 
возможность представить картину эволюции компьютерных сетей во всем ее красочном многообразии. 


В 1969 году министерство обороны США инициировало работы по объединению в еди- 
ную сеть суперкомпьютеров оборонных и научно-исследовательских центров. Эта сеть, 
получившая название АКРАМЕТ, стала отправной точкой для создания первой и самой 
известной ныне глобальной сети мирового масштаба — Іпѓегпеѓ. 


Сеть АКРАМЕТ объединяла компьютеры разных типов, работавшие под управлением 
различных операционных систем (ОС) с дополнительными модулями, реализующими 
коммуникационные протоколы, общие для всех компьютеров сети. ОС этих компьютеров 
можно считать первыми сетевыми операционными системами. 


Сетевые ОС позволили не только рассредоточить пользователей между несколькими 
компьютерами (как в многотерминальных системах), но и организовать распределенные 
хранение и обработку данных. Любая сетевая операционная система, с одной стороны, 
выполняет все функции локальной операционной системы, а с другой стороны, обладает 
некоторыми дополнительными средствами, позволяющими ей взаимодействовать через 
сеть с операционными системами других компьютеров. Программные модули, реализу- 
ющие сетевые функции, появлялись в операционных системах постепенно, по мере раз- 
вития сетевых технологий, аппаратной базы компьютеров и возникновения новых задач, 
требующих сетевой обработки. 


Прогресс глобальных компьютерных сетей во многом определялся прогрессом телефон- 
ных сетей. С конца 60-х годов в телефонных сетях все чаще стала применяться передача 
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голоса в иифровой форме. Это привело к появлению высокоскоростных цифровых каналов, 
соединяющих автоматические телефонные станции (АТС) и позволяющих одновременно 
передавать десятки и сотни разговоров. 


К настоящему времени глобальные сети по разнообразию и качеству предоставляемых 
услуг догнали локальные сети, которые долгое время лидировали в этом отношении, хотя 
и появились на свет значительно позже. 


Первые локальные сети 


Важное событие, повлиявшее на эволюцию компьютерных сетей, произошло в начале 
70-х годов. В результате технологического прорыва в области производства компьютерных 
компонентов появились большие интегральные схемы (БИС). Их сравнительно невысокая 
стоимость и хорошие функциональные возможности привели к созданию мини-компьюте- 
ров, которые стали реальными конкурентами мейнфреймов. Эмпирический закон Гроша 
перестал соответствовать действительности, так как десяток мини-компьютеров, имея ту 
же стоимость, что и один мейнфрейм, решали некоторые задачи (как правило, хорошо 
распараллеливаемые) быстрее. 


Предприятие 


Мини-ЭВМ 


ПЛ] 


Терминал 


Терминалы 


Отдел 1 предприятия 


Отдел 2 предприятия 


= — 


Мини-ЭВмМ 


Терминалы 


Отдел 4 предприятия 


Рис. 1.4. Автономное использование нескольких мини-компьютеров на одном предприятии 
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Даже небольшие подразделения предприятий получили возможность иметь собственные 
компьютеры. Мини-компьютеры решали задачи управления технологическим оборудо- 
ванием, складом и другие задачи уровня отдела предприятия. Таким образом, появилась 
концепция распределения компьютерных ресурсов по всему предприятию. Однако при 


этом все компьютеры одной организации по-прежнему продолжали работать автономно 
(рис. 1.4). 


Шло время, потребности пользователей вычислительной техники росли. Их уже не 
удовлетворяла изолированная работа на собственном компьютере, им хотелось в авто- 
матическом режиме обмениваться компьютерными данными с пользователями других 
подразделений. Ответом на эту потребность и стало появление первых локальных вы- 
числительных сетей (рис. 1.5). 
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Рис. 1.5. Различные типы связей в первых локальных сетях 


Локальные сети (оса! Агеа Међћмогк, АМ) — это объединения компьютеров, сосредоточенных 
на небольшой территории, обычно в радиусе не более 1-2 км, хотя в отдельных случаях локаль- 
ная сеть может иметь и большие размеры, например, несколько десятков километров. Обычно 
локальная сеть представляет собой коммуникационную систему, принадлежащую одной орга- 
низации. 
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На первых порах для соединения компьютеров друг с другом использовались нестандарт- 
ные сетевые технологии. 


Сетевая технология — это согласованный набор программных и аппаратных средств (например, 
драйверов, сетевых адаптеров, кабелей и разъемов), а также механизмов передачи данных по 
линиям связи, достаточный для построения вычислительной сети. 


Разнообразные устройства сопряжения, использующие собственные способы представле- 
ния данных на линиях связи, свои типы кабелей и т. п., могли соединять только те конкрет- 
ные модели компьютеров, для которых были разработаны, например, мини-компьютеры 
РОР-11 с мейнфреймом ІВМ 360 или мини-компьютеры НР с микрокомпьютерами [.$-11. 
Такая ситуация создала большой простор для творчества студентов — названия многих 
курсовых и дипломных проектов начинались тогда со слов «Устройство сопряжения...». 


В середине 80-х годов положение дел в локальных сетях кардинально изменилось. Утвердились 
стандартные сетевые технологии объединения компьютеров в сеть — Еіћегпеї, Агспе, Токеп Впд, 
Токеп Виѕ, несколько позже — РОГ. 


Мощным стимулом для их появления послужили персональные компьютеры. Эти мас- 
совые продукты стали идеальными элементами построения сетей — с одной стороны, они 
были достаточно мощными, чтобы обеспечивать работу сетевого программного обеспече- 
ния, а с другой — явно нуждались в объединении своей вычислительной мощности для 
решения сложных задач, а также разделения дорогих периферийных устройств и диско- 
вых массивов. Поэтому персональные компьютеры стали преобладать в локальных сетях, 
причем не только в качестве клиентских компьютеров, но и в качестве центров хранения 
и обработки данных, то есть сетевых серверов, потеснив с этих привычных ролей мини- 
компьютеры и мейнфреймы. 


Все стандартные технологии локальных сетей опирались на тот же принцип коммутации, 
который был с успехом опробован и доказал свои преимущества при передаче трафика 
данных в глобальных компьютерных сетях — принцип коммутации пакетов. 


Стандартные сетевые технологии превратили процесс построения локальной сети из 
решения нетривиальной технической проблемы в рутинную работу. Для создания сети 
достаточно было приобрести стандартный кабель, сетевые адаптеры соответствующего 
стандарта, например Ећегпеї, вставить адаптеры в компьютеры, присоединить их к кабе- 
лю стандартными разъемами и установить на компьютеры одну из популярных сетевых 
операционных систем, например М№оуе!] Ме \Уаге. 


Разработчики локальных сетей привнесли много нового в организацию работы пользо- 
вателей. Так, стало намного проще и удобнее, чем в глобальных сетях, получать доступ 
к общим сетевым ресурсам. Последствием и одновременно движущей силой такого 
прогресса стало появление огромного числа непрофессиональных пользователей, осво- 
божденных от необходимости изучать специальные (и достаточно сложные) команды 
для сетевой работы. 


Конец 90-х выявил явного лидера среди технологий локальных сетей — семейство ЕтегтеЕ, в ко- 
торое вошли классическая технология ЕПеге{ со скоростью передачи 10 Мбит/с, а также Ғаѕї 
Епегпе{ со скоростью 100 Мбит/с и Сідаыьі Еїћегпеї со скоростью 1000 Мбит/с. 
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Простые алгоритмы работы этой технологии предопределяют низкую стоимость оборудо- 
вания Е пегпе. Широкий диапазон иерархии скоростей позволяет рационально строить 
локальную сеть, выбирая ту технологию семейства, которая в наибольшей степени отвечает 
задачам предприятия и потребностям пользователей. 


Конвергенция сетей 


Конвергенция локальных и глобальных сетей 


В конце 80-х г одов отличия между локальными и глобальными сетями проявлялись весьма 
отчетливо. 


Ц Протяженность и качество линий связи. Локальные компьютерные сети по определе- 
нию отличаются от глобальных сетей небольшими расстояниями между узлами сети. 
Это в принципе делает возможным использование в локальных сетях более дорогих 
качественных линий связи. В глобальных сетях 80-х годов преобладали низкоскорост- 
ные телефонные линии связи, передающие дискретную информацию компьютеров со 
сравнительно частыми искажениями. 


О Сложность методов передачи данных. В условиях низкой надежности физических 
каналов в глобальных сетях требуются более сложные, чем в локальных сетях, методы 
передачи данных и соответствующее оборудование. 


О Скорость обмена данными в локальных сетях (10, 16 и 100 Мбит/с) в то время была 
существенно выше, чем в глобальных (от 2,4 Кбит/с до 2 Мбит/с). 


Ц Разнообразие услуг. Высокие скорости обмена данными позволили предоставлять 
в локальных сетях широкий спектр услуг — это, прежде всего, разнообразные способы 
совместного использования файлов, хранящихся на дисках других компьютеров сети, 
совместное использование устройств печати, модемов, факсов, доступ к единой базе 
данных, электронная почта и другие. В то же время глобальные сети в основном огра- 
ничивались почтовыми и файловыми услугами в их простейшем (не самом удобном 
для пользователя) виде. 


Постепенно различия между локальными и глобальными сетевыми технологиями стали 
сглаживаться. Изолированные ранее локальные сети начали объединять друг с другом, при 
этом в качестве связующей среды использовались глобальные сети. Интеграция локальных 
и глобальных сетей привела к значительному взаимопроникновению соответствующих 
технологий. 


Сближение в методах передачи данных произошло за счет использования одной и той же 
среды передачи данных — оптического волокна — и одних и тех же принципов кодирования 
передаваемых данных — цифрового (дискретного) кодирования. Оптоволоконные кабели 
стали использоваться практически во всех технологиях локальных сетей для скоростного 
обмена информацией на расстояниях свыше 100 метров, на них же стали строиться маги- 
страли первичных сетей ОН и О\УОМ, предоставляющих свои цифровые каналы для 
объединения оборудования глобальных компьютерных сетей. 


Высокое качество цифровых каналов изменило требования к протоколам глобальных 
компьютерных сетей. На первый план вместо процедур обеспечения надежности вышли 
процедуры обеспечения гарантированной средней скорости доставки информации пользо- 


34 Часть |. Основы сетей передачи данных 


вателям, а также механизмы приоритетной обработки пакетов особенно чувствительного 
к задержкам трафика, например голосового. Эти изменения нашли отражение в таких 
технологиях глобальных сетей 90-х годов, как Егате Кејау и АТМ. В этих технологиях 
предполагается, что искажение битов происходит настолько редко, что ошибочный пакет 
выгоднее просто уничтожить, а все проблемы, связанные с его потерей, перепоручить 
программному обеспечению более высокого уровня, которое непосредственно не входит 
в состав сетей Егате Ке|ау и АТМ. 


Большой вклад в сближение локальных и глобальных сетей внесло доминирование прото- 
кола [Р. Этот протокол может работать поверх любых технологий локальных и глобальных 
сетей (Ефегпее, МРТ, Токеп Кіпе, АТМ, Егате Ке]ау), объединяя различные подсети 
в единую составную сеть. 


Начиная с 90-х годов компьютерные глобальные сети, работающие на основе скоростных 
цифровых каналов, существенно расширили спектр предоставляемых услуг и догнали 
в этом отношении локальные сети. Стало возможным создание служб, работа которых 
связана с доставкой пользователю больших объемов информации в реальном времени — 
изображений, видеофильмов, голоса, в общем, всего того, что получило название муль- 
тимедийной информации. Наиболее яркий пример — гипертекстовая информационная 
служба Мог!а МЛае Мер (веб-служба), ставшая основным поставщиком информации в Ин- 
тернете. Ее интерактивные возможности превзошли возможности многих аналогичных 
служб локальных сетей, так что разработчикам приложений локальных сетей пришлось 
просто позаимствовать эту службу у глобальных сетей. Процесс переноса технологий из 
глобальной сети Интернет в локальные приобрел такой массовый характер, что появился 
даже специальный термин — іпёгапеё-технологии (іпіга — внутренний). 


Возникли новые сетевые технологии, которые стали одинаково успешно работать как в ло- 
кальных, так и в глобальных сетях. Первой такой технологией была АТМ, которая могла 
эффективно объединять все существующие типы трафика в одной сети. Однако истинно 
универсальной сетевой технологией стала технология Еѓћегпе. Долгие годы Ефегпее была 
технологией только локальных сетей, однако, дополненная новыми функциями и новыми 
уровнями скоростей, эта технология (называемая в этом варианте Саггіег Еќћегпеї, то есть 
Есһегпеѓ операторского класса) сегодня преобладает на линиях связи и глобальных сетей. 
Следствием доминирования технологии Еќћегпеї в первом десятилетии ХХІ века стало 
упрощение структуры как локальных, так и глобальных сетей — в подавляющем большин- 
стве подсетей сегодня работает протокол Еќћегпеѓ, а объединяются подсети в составную 
сеть с помощью протокола ІР. 


Еще одним признаком сближения локальных и глобальных сетей является появление сетей, за- 
нимающих промежуточное положение между локальными и глобальными сетями. Городские 
сети, или сети мегаполисов (Меїгороіїап Агеа Мемюогк, МАМ), предназначены для обслуживания 
территории крупного города. 


Эти сети используют цифровые линии связи, часто оптоволоконные, со скоростями на 
магистрали 10 Гбит/с и выше. Они обеспечивают экономичное соединение локальных 
сетей между собой, а также выход в глобальные сети. Сети МАМ первоначально были раз- 
работаны только для передачи данных, но сейчас перечень предоставляемых ими услуг 
расширился, в частности, они поддерживают видеоконференции и интегральную передачу 
голоса и текста. Современные сети МАМ отличаются разнообразием предоставляемых 
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услуг, позволяя своим клиентам объединять коммуникационное оборудование различного 
типа, в том числе офисные АТС. 


Конвергенция компьютерных 
и телекоммуникационных сетей 


Начиная с 1980-х годов предпринимаются попытки создания универсальной, так назы- 
ваемой мультисервисной сети, способной предоставлять услуги как компьютерных, так 
и телекоммуникационных сетей. 


К телекоммуникационным сетям относятся радиосети, телефонные и телевизионные сети. 
Главное, что объединяет их с компьютерными сетями, — это то, что в качестве ресурса, 
предоставляемого клиентам, выступает информация. Однако имеется некоторая спе- 
цифика, касающаяся вида, в котором представляют информацию компьютерные и телеком- 
муникационные сети. Так, изначально компьютерные сети разрабатывались для передачи 
алфавитно-цифровой информации, которую часто называют просто данными, поэтому 
у компьютерных сетей имеется и другое название — сети передачи данных, в то время как 
телекоммуникационные сети были созданы для передачи голосовой и видеоинформации. 


Сегодня мы являемся свидетелями конвергенции телекоммуникационных и компьютерных 
сетей, которая идет по нескольким направлениям. 


Прежде всего наблюдается сближение видов услуг, предоставляемых клиентам. Первая 
попытка создания мультисервисной сети, способной оказывать различные услуги, в том 
числе услуги телефонии и передачи данных, привела к появлению в 80-х годах технологии 
цифровых сетей с интегрированным обслуживанием (Іпќергаќей Ѕегуісеѕ О1эКа| Меѓуогк, 
150№). Но на практике сети [5ОМ так и остались телефонными сетями, а роль глобальной 
мультисервисной сети нового поколения стал играть Интернет. 


Интернет превратился из сети, предназначенной для оказания небольшого набора услуг 
передачи данных, основными из которых были передача файлов и обмен текстовыми почто- 
выми сообщениями, в действительно мультисервисную сеть. Интернет может оказывать все 
виды телекоммуникационных услуг, втом числе услуг мгновенных сообщений, видео- и ау- 
диоконференций, ІР-телефонии,1Р-телевидения, а также услуг многочисленных социальных 
сетей. Очевидно, что`мультисервисность сети Интернет в будущем будет только возрастать. 


Прорывом в процессе конвергенции сетей явилось появление смартфонов — терминаль- 
ных устройств, которые объединили в себе функции мобильных телефонов и персональных 
компьютеров. Для поддержки таких новых функций телефона современная мобильная те- 
лефонная сетьтакже стала мультисервисной сетью — она предоставляет полный набор как 
телефонных, так и компьютеризованных информационных услуг (просмотр веб-страниц 
в такой же удобной форме, как и на экране компьютера, услуги электронной почты и видео- 
конференций, просмотр фильмов, публикация информации в социальных сетях ит. п.). 


Технологическое сближение сетей происходит по нескольким направлениям. Прежде всего 
это использование цифровой передачи для разных типов информации. Представление 
голоса и изображения в цифровой форме сделало принципиально возможной передачу 
телефонного, видео и компьютерного трафиков по одним и тем же цифровым каналам. 


Важным шагом телефонии навстречу компьютерным сетям стало использование наряду 
с изначально присущей им коммутацией каналов методов коммутации пакетов. Так, для 
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передачи служебных сообщений (называемых сообщениями сигнализации) применяются 
протоколы коммутации пакетов, аналогичные протоколам компьютерных сетей, а для 
передачи собственно голоса между абонентами коммутируется традиционный составной 
канал. 


Сегодня пакетные методы коммутации постепенно теснят традиционные для телефон- 
ных сетей методы коммутации каналов даже при передаче голоса. У этой тенденции есть 
достаточно очевидная причина — на основе метода коммутации пакетов можно более 
эффективно использовать пропускную способность каналов связи и коммутационного 
оборудования. Например, паузы в телефонном разговоре могут составлять до 40 % обще- 
го времени соединения, однако только пакетная коммутация позволяет «вырезать» паузы 
и использовать высвободившуюся пропускную способность канала для передачи трафика 
других абонентов. Другой веской причиной перехода к коммутации пакетов является по- 
пулярность Интернета — сети, построенной на основе данной технологии. 


Обращение к технологии коммутации пакетов для одновременной передачи через пакет- 
ные сети разнородного трафика — голоса, видео и текста — сделало актуальной разработку 
новых методов обеспечения требуемого качества обслуживания (ОцаШЩу оѓ Ѕегуісе, Оо5). 
Методы 005 призваны минимизировать уровень задержек для чувствительного к ним 
трафика, например голосового, и одновременно гарантировать среднюю скорость и дина- 
мичную передачу пульсаций для трафика данных. 


Однако неверно было бы говорить, что методы коммутации каналов морально устарели 
иуних нет будущего. На новом витке спирали развития они находят свое применение, но 
уже в новых технологиях, таких как технологии первичных сетей, служащих основой как 
для компьютерных, так и телефонных сетей: Орйса| Тгапѕрогі Меѓуогкѕ (ОТМ) и Оепзе 
УауеЈепеёһћ Ріуіѕіоп Миарехтвё (О\УОМ). 


Еще одним проявлением технологической конвергенции стало использование в телеком- 
муникационных сетях традиционного для компьютерных сетей протокола ІР. Например, 


этот протокол нашел свое применение в технологиях мобильных телефонных сетей 3-го, 
4-го и 5-го поколений (3С, 4С, 5С). 


Компьютерные сети также многое позаимствовали у телефонных и телевизионных сетей. 
В частности, они взяли на вооружение методы обеспечения отказоустойчивости телефон- 
ных сетей, за счет которых последние демонстрируют высокую степень надежности, так 
недостающей порой Интернету и корпоративным сетям. 


Учитывая описанный процесс эволюции, мы в этой книге будем использовать устоявшийся 
термин «телекоммуникационная сеть» в расширенном понимании — то есть подразумевая 
под телекоммуникационными сетями и компьютерные сети. 


Интернет как фактор развития 
сетевых технологий 


Интернет является вершиной эволюции телекоммуникационных сетей, самой быстро- 
растущей технической системой в истории человечества. Интернет растет и качественно 
развивается постоянно, начиная с 80-х годов, и в соответствии с прогнозами специалистов 
этот процесс будет продолжаться. 
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«Размеры» Интернета можно оценивать по-разному, чаще всего используют такие пока- 
затели, как количество подключенных к Интернету терминальных устройств, количество 
пользователей, объем трафика, передаваемый в единицу времени. 


Качественное развитие Интернета проявляется в появлении все новых и новых серви- 
сов, например, уже упомянутых интернет-вариантов телефонии и телевидения, а также 
новых типов терминальных устройств. Так, помимо «чистых» компьютеров к Интернету 
стали подключаться разнообразные устройства со встроенными «компьютерами» — 
смартфоны, планшеты, бытовые приборы, автомобили, и этот список можно продолжать 
еще долго. 


Рассмотрим сначала в цифрах количественный рост Интернета. 


На рис. 1.6 показан график роста числа пользователей Интернета за 50 лет существования 
этой сети. В начале 2019 года их число составило 4,388 миллиарда, то есть 57 % населения 
земного шара. 
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Рис. 1.6. Рост числа пользователей и трафика Интернета 


Количество терминальных устройств, выполняющих функции серверов (без учета поль- 
зовательских устройств) росло примерно такими же темпами: в 1980 году насчитывалось 
около 1000 хостов, подключенных к Интернету, в 1991-м — более 1 000 000, в начале 
2000-х — около 100 000 000 и, наконец, в 2018 году — свыше 1 миллиарда. С учетом поль- 
зовательских устройств (настольных компьютеров, ноутбуков, планшетов и мобильных 
телефонов) общее количество терминальных устройств, подключенных к Интернету, со- 
ставило в 2018 году около 23 миллиардов. 


Абсолютно взрывным оказался рост объема трафика (количество байтов, переданных 
в месяц через магистрали Интернета): 
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О 1990 — 1 ТВ (1 терабайт = 1012 байт, или 1000 гигабайт); 
О 1996 — 2000 ТВ; 

О 2000 — 84 РВ (1 петабайт = 1000 терабайт); 

О 2008 — 10 ЕВ (1 экзабайт = 1000 петабайт); 

О 


2013 — 50 ЕВ; 
Ц 2018 — 129 ЕВ. 


В середине 90-х трафик рос особенно быстро, удваиваясь каждый год, то есть демонстрируя 
экспоненциальный рост. Затем рост несколько замедлился, но все равно за последние 5 лет 
объем передаваемого трафика вырос в 2,6 раза. 


Очевидно, что Интернет не рос бы так быстро, если бы он не изменялся качественно и оста- 
вался все это время только средством передачи файлов и обмена текстовыми сообщениями 
электронной почты. Новые сервисы и новые типы терминальных устройств делали и дела- 
ют Интернет привлекательным для все большего числа массовых пользователей, которым 
раньше вряд ли пришло бы в голову использовать компьютер в повседневной жизни. 


Если мы посмотрим на терминальные интернет-устройства, то увидим, что сегодня боль- 
шую их часть составляют не традиционные персональные настольные компьютеры, а мо- 
бильные устройства — планшеты и смартфоны. Все большее распространение получает 
и такой тип терминальных устройств, как встроенные компьютеры. Они не так заметны, 
как планшеты и смартфоны, потому что работают внутри привычных систем и устройств, 
таких как отопительные системы, камеры слежения, телевизоры, холодильники или само- 
управляемые автомобили. Такие компьютеры сами инициируют обмен данными между 
собой или со своими удаленными центрами управления через Интернет, являясь, по су- 
ществу, его пользователями. Этот новый класс пользователей породил и новый термин — 
интернет вещей (Пцегпей оѓ Тһіпеѕ, ІоТ), подчеркивающий отличие от традиционного 
Интернета пользователей-людей. 


В результате, если в 2013 году больше половины интернет-трафика (67 %) генерировали 
персональные компьютеры, то в 2018 году они уступили пальму первенства мобильным 
устройствам и встроенным компьютерам, в совокупности сгенерировавшим 53 % тра- 
фика. 


Существенно менялся и процентный состав приложений, генерирующих трафик. Так, 
если в 90-е годы и начале 2000-х в общем объеме преобладал трафик приложений, пере- 
дающих файлы (файлы электронной почты, веб-страниц, музыки и кинофильмов), то уже 
к 2010 году он уступил лидерство трафику приложений, передающих видеопотоки в реаль- 
ном масштабе времени (таких как интернет-телевидение, показ кинофильмов в онлайновом 
режиме по требованию, видеоконференции). 


Новой вехой на пути развития Интернета стали облачные вычисления, которые позволяют 
разгрузить пользовательский компьютер и перенести хранение данных и выполнение при- 
ложений на некоторые удаленные компьютеры, связанные с пользовательским компью- 
тером через сеть. Облачные вычисления стали еще одной причиной увеличения трафика 
Интернета, так как пользователи этого сервиса постоянно обращаются к внешним серверам 
провайдера, вместо того чтобы производить вычисления и другие манипуляции с данными 
локально, на своих персональных компьютерах или на корпоративных серверах. 


Изменение объема и характера трафика из-за появления новых терминальных устройств, 
новых приложений и услуг Интернета породило новые вызовы разработчикам сетевых 
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технологий, так как требования к характеристикам сети у этих приложений значительно 
отличаются от требований приложений передачи файлов. 


Например, автомобили без водителя сейчас проходят испытания и скоро станут повседнев- 
ностью. Интернет является неотъемлемой составной частью системы управления такими 
автомобилями, поддерживая обмен информацией в реальном времени между локальным 
компьютером автомобиля и удаленным приложением, решающим сложные задачи, возмож- 
но, с применением элементов искусственного интеллекта, которые не под силу локальному 
компьютеру с его ограниченными ресурсами. Понятно, что в этом случае время реакции 
сети и ее надежность являются критическими параметрами, иначе автомобиль просто ста- 
нет опасным объектом на дороге. Новые требования к реакции сети могут потребовать не 
только разработки более скоростных сетевых технологий, но и изменения его архитектуры, 
с перенесением центров вычислений ближе к периферии Интернета. 


Феноменальный рост и изменчивость Интернета (в различных аспектах) оказывали и ока- 
зывают сильнейшее влияние на технологии компьютерных сетей, заставляя их постоянно 
изменяться и совершенствоваться, приспосабливаясь к новым требованиям пользователей 
и их количеству. 


ГЛАВА 2 Общие принципы 
построения сетей 


Простейшая сеть из двух компьютеров 


Совместное использование ресурсов 


Исторически главной целью объединения компьютеров в сеть было разделение ресурсов: 
пользователи компьютеров, подключенных к сети, или приложения, выполняемые на этих 
компьютерах, получают возможность автоматического доступа к разнообразным ресурсам 
остальных компьютеров сети, к числу которых относятся: 


О периферийные устройства, такие как диски, принтеры, плоттеры, сканеры и др.; 


О данные, хранящиеся в оперативной памяти или на внешних запоминающих устрой- 
ствах; 


О вычислительная мощность (за счет удаленного запуска «своих» программ на «чужих» 
компьютерах). 


Чтобы обеспечить пользователей разных компьютеров возможностью совместного ис- 
пользования ресурсов сети, компьютеры необходимо оснастить некими дополнительными 
сетевыми средствами. 


Рассмотрим простейшую сеть, состоящую из двух компьютеров, к одному из которых 
подключен принтер (рис. 2.1). Какие дополнительные средства должны быть преду- 
смотрены в обоих компьютерах, чтобы с принтером мог работать не только пользователь 
компьютера В, к которому этот принтер непосредственно подключен, но и пользователь 
компьютера А? 


Компьютер А Компьютер В Принтер 
компьютера В 


Рис. 2.1. Простейшая сеть 


Сетевые интерфейсы 


Для связи устройств в них прежде всего должны быть предусмотрены внешние интер- 
фейсы. 
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Интерфейс — в широком смысле — формально определенная логическая и/или физическая 
граница между отдельными объектами, которые обмениваются информацией. Интерфейс задает 
параметры, процедуры и характеристики взаимодействия объектов. 


ПРИМЕЧАНИЕ 


Наряду с внешними электронные устройства могут использовать внутренние интерфейсы, опреде- 
ляющие логические и физические границы между входящими в их состав модулями: оперативной 
памятью, процессором и др. 


Разделяют физический и логический интерфейсы. 


О Физический интерфейс (называемый также портом) определяется набором электри- 
ческих связей и характеристиками сигналов. Обычно он представляет собой разъем 
с набором контактов, каждый из которых имеет определенное назначение, например, 
это может быть группа контактов для передачи данных, контакт синхронизации данных 
и т. п. Пара разъемов соединяется кабелем, состоящим из набора проводов, каждый из 
которых соединяет соответствующие контакты. В таких случаях говорят о создании 
линии, или канала, связи между двумя устройствами. 


О Логический интерфейс (называемый также протоколом) — это набор информационных 
сообщений определенного формата, которыми обмениваются два устройства или две 
программы, а также набор правил, определяющих логику обмена этими сообщениями. 


На рис. 2.2 мы видим интерфейсы двух типов: компьютер — компьютер и компьютер — 

периферийное устройство. 

О Интерфейс компьютер — компьютер позволяет двум компьютерам обмениваться ин- 
формацией. С каждой стороны он реализуется парой: 


О аппаратным модулем, называемым сетевым адаптером или сетевой интерфейсной 
картой (ИК), или (в англоязычном варианте) Мебмогк Іпѓегѓасе Сага, МТС; 


О драйвером сетевой интерфейсной карты — специальной программой, управляющей 
работой сетевой интерфейсной карты. 


О Интерфейс компьютер — периферийное устройство (в данном случае интерфейс ком- 
пьютер — принтер) позволяет компьютеру управлять работой периферийного устрой- 
ства (ПУ). Этот интерфейс реализуется: 


О со стороны компьютера — интерфейсной картой и драйвером ПУ (принтера), по- 
добным сетевой интерфейсной карте и ее драйверу; 


О со стороны ПУ — контроллером ПУ (принтера), обычно представляющим собой 
аппаратное устройство!, принимающее от компьютера как данные, например, байты 
информации, которую нужно распечатать на бумаге, так и команды, которые он от- 
рабатывает, управляя электромеханическими частями периферийного устройства, 
например, выталкивая лист бумаги из принтера или перемещая магнитную головку 
диска. 


1 Встречаются и программно управляемые контроллеры, например, для управления современными 
принтерами, обладающими сложной логикой. 
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Компьютер А Протокол Компьютер В 


ожений 


Протокол 
уровня 


Принтер 


Сетевая ИК ИК принтера 


Контроллер 
принтера 


Интерфейс 
компьютер—компьютер 


Интерфейс 
компьютер—принтер 


Рис. 2.2. Совместное использование принтера в компьютерной сети 


Связь компьютера с периферийным устройством 


Для понимания того, как решить задачу организации доступа приложения, выполняемого 
на компьютере А, к ПУ через сеть, давайте прежде всего посмотрим, как управляет этим 
устройством приложение, выполняемое на компьютере В, к которому данное ПУ подклю- 
чено непосредственно (см. рис. 2.2). 


1. 


Пусть приложению В в какой-то момент потребовалось вывести на печать некоторые 
данные. Для этого приложение обращается с запросом на выполнение операции вво- 
да-вывода к операционной системе (как правило, драйвер не может быть запущен на 
выполнение непосредственно приложением). В запросе указываются адрес данных, 
которые необходимо напечатать (адрес буфера ОП), и информация о том, на каком 
периферийном устройстве эту операцию требуется выполнить. 


Получив запрос, операционная система запускает программу — драйвер принтера. 
С этого момента все дальнейшие действия по выполнению операции ввода-вывода 
со стороны компьютера реализуются только драйвером принтера и работающим под 
его управлением аппаратным модулем — интерфейсной картой принтера без участия 
приложения и операционной системы. 


Драйвер принтера оперирует командами, понятными контроллеру принтера, такими, 
например, как «Печать символа», «Перевод строки», «Возврат каретки». Драйвер 
в определенной последовательности загружает коды этих команд, а также данные, 
взятые из буфера ОП, в буфер интерфейсной карты принтера, которая побайтно пере- 
дает их по сети контроллеру принтера. 


Интерфейсная карта выполняет низкоуровневую работу, не вдаваясь в детали, каса- 
ющиеся логики управления устройством, смысла данных и команд, передаваемых 
ей драйвером, считая их однородным потоком байтов. После получения от драйвера 
очередного байта интерфейсная карта просто последовательно передает биты в ли- 
нию связи, представляя каждый бит электрическим сигналом. Чтобы контроллеру 


Глава 2. Общие принципы построения сетей 43 


принтера стало понятно, что начинается передача байта, перед передачей первого 
бита информационная карта формирует стартовый сигнал специфической формы, 
а после передачи последнего информационного бита -- стоповый сигнал. Эти сигна- 
лы синхронизируют передачу байта. Контроллер, опознав стартовый бит, начинает 
принимать информационные биты, формируя из них байт в своем приемном буфере. 
Помимо информационных битов карта может передавать бит контроля четности для 
повышения достоверности обмена. При корректно выполненной передаче в буфере 
принтера устанавливается соответствующий признак. 


5. Получив очередной байт, контроллер интерпретирует его и запускает заданную 
операцию принтера. Закончив работу по печати всех символов документа, драйвер 
принтера сообщает операционной системе о выполнении запроса, а та, в свою очередь, 
сигнализирует об этом событии приложению. 


Обмен данными между двумя компьютерами 


Механизмы взаимодействия компьютеров в сети многое позаимствовали у схемы взаи- 
модействия компьютера с периферийными устройствами. В самом простом случае связь 
компьютеров может быть реализована с помощью тех же самых средств, которые исполь- 
зуются для связи компьютера с периферией, с той разницей, что в этом случае активную 
роль играют обе взаимодействующие стороны. 


Приложения А и В (см. рис. 2.2) управляют процессом передачи данных путем обмена 
сообщениями. Чтобы приложения могли «понимать» получаемую друг от друга информа- 
цию, программисты, разрабатывавшие эти приложения, должны строго оговорить форматы 
и последовательность сообщений, которыми приложения будут обмениваться во время 
выполнения этой операции. Например, они могут договориться о том, что любая операция 
обмена данными начинается с передачи сообщения, запрашивающего информацию о го- 
товности приложения В; что в следующем сообщении идут идентификаторы компьютера 
и пользователя, сделавшего запрос; что признаком срочного завершения операции обмена 
данными является определенная кодовая комбинация, и т. п. Тем самым определяется про- 
токол взаимодействия приложений для выполнения операции данного типа. 


Аналогично тому, как при выводе данных на печать необходимо передавать принтеру 
дополнительно некоторый объем служебной информации — в виде команд управления 
принтером, так и здесь для передачи данных из одного компьютера в другой необходимо 
сопровождать эти данные дополнительной информацией в виде протокольных сообщений, 
которыми обмениваются приложения. 


Заметим, что для реализации протокола нужно, чтобы к моменту возникновения потребно- 
сти в обмене данными были активны оба приложения: как приложение А, которое посылает 
инициирующее сообщение, Так и приложение В, которое должно быть готово принять это 
сообщение И выработать реакцию на него. 


Передача любых данных (как сообщений протокола приложений, так и собственно дан- 
ных, составляющих цель операции обмена) происходит в соответствии с одной и той же 
процедурой. 


На стороне компьютера А приложение, следуя логике протокола, размещает в буфере ОП 
либо собственное очередное сообщение, либо данные и обращается к ОС с запросом на 
выполнение операции межкомпьютерного обмена данными. ОС запускает соответствую- 
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щий драйвер сетевой карты, который загружает байт из буфера ОП в буфер интерфейсной 
карты, после чего инициирует ее работу. Сетевая интерфейсная карта последовательно 
передает биты в линию связи, дополняя каждый новый байт стартовым и стоповым битами. 


На стороне компьютера В сетевая интерфейсная карта принимает биты, поступающие со 
стороны внешнего интерфейса, и помещает их в собственный буфер. После того как полу- 
чен стоповый бит, интерфейсная карта устанавливает признак завершения приема байта 
и выполняет проверку корректности приема, например, путем контроля бита четности. 
Факт корректного приема байта фиксируется драйвером сетевой интерфейсной карты ком- 
пьютера В. Драйвер переписывает принятый байт из буфера интерфейсной карты в заранее 
зарезервированный буфер ОП компьютера В. Приложение В извлекает данные из буфера 
и интерпретирует их в соответствии со своим протоколом либо как сообщение, либо как 
данные. Если согласно протоколу приложение В должно передать ответ приложению А, 
то выполняется симметричная процедура. 


Таким образом, связав электрически и информационно два автономно работающих ком- 
пьютера, мы получили простейшую компьютерную сеть. 


Доступ к периферийным устройствам через сеть 


Итак, мы имеем в своем распоряжении механизм, который позволяет приложениям, вы- 
полняющимся на разных компьютерах, обмениваться данными. И хотя приложение А 
(см. рис. 2.2) по-прежнему не может управлять принтером, подключенным к компьюте- 
ру В, оно может теперь воспользоваться средствами межкомпьютерного обмена данными, 
чтобы передать приложению В «просьбу» выполнить для него требуемую операцию. При- 
ложение А должно «объяснить» приложению В, какую операцию необходимо выполнить, 
с какими данными, на каком из имеющихся в его распоряжении устройств, в каком виде 
должен быть распечатан текст, и т. п. В ходе печати могут возникнуть ситуации, о которых 
приложение В должно оповестить приложение А, например, об отсутствии бумаги в прин- 
тере. То есть для решения поставленной задачи — доступа к принтеру по сети — должен 
быть разработан специальный протокол взаимодействия приложений А и В. 


А теперь посмотрим, как работают вместе все элементы этой простейшей компьютерной 
сети при решении задачи совместного использования принтера. 


1. В соответствии с принятым протоколом приложение А формирует сообщение-запрос 
к приложению В, помещает его в буфер ОП компьютера А и обращается к ОС, снабжая 
ее необходимой информацией. 


2. ОС запускает драйвер сетевой интерфейсной карты, сообщая ему адрес буфера ОП, 
где хранится сообщение. 


3. Драйвер и сетевая интерфейсная карта компьютера А, взаимодействуя с драйвером 
и интерфейсной картой компьютера В, передают сообщение байт за байтом в буфер 
ОП компьютера В. 


4. Приложение В извлекает сообщение из буфера, интерпретирует его в соответствии 
с протоколом и выполняет необходимые действия. В число таких действий входит, 
в том числе, обращение к ОС с запросом на выполнение тех или иных операций с ло- 
кальным принтером. 


5. ОС запускает драйвер принтера, который в кооперации с интерфейсной картой и кон- 
троллером принтера выполняет требуемую операцию печати. 
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Уже на этом начальном этапе, рассматривая связь компьютера с периферийным устрой- 
ством, мы столкнулись с важнейшими «сетевыми» понятиями: интерфейсом и протоколом, 
драйвером и интерфейсной картой, а также с проблемами, характерными для компьютер- 
ных сетей: согласованием интерфейсов, синхронизацией асинхронных процессов, обеспе- 
чением достоверности передачи данных. 


Сетевое программное обеспечение 


Мы только что рассмотрели случай совместного использования принтера в простейшей 
сети, состоящей только из двух компьютеров. Однако даже на этом начальном этапе мы 
уже можем сделать некоторые выводы относительно строения сетевого программного обес- 
печения: сетевых служб, сетевой операционной системы и сетевых приложений. 


Сетевые службы и сервисы 


Потребность в доступе к удаленному принтеру может возникать у пользователей самых 
разных приложений: текстового редактора, графического редактора, системы управления 
базой данных (СУБД). Очевидно, что дублирование в каждом из приложений общих для 
всех них функций по организации удаленной печати является избыточным. 


Более эффективным представляется подход, при котором эти функции исключаются из 
приложений и оформляются в виде пары специализированных программных модулей — 
клиента и сервера печати (рис. 2.3), функции которых ранее выполнялись соответственно, 
приложениями А и В. Теперь эта пара клиент-сервер может быть использована любым 
приложением, выполняемым на компьютере А. 


Компьютер А Компьютер В 


[Приложения ] 


Сетевая служба 


Бине Бе 


Бине Бе 
554 Драйвер 
сетевой 554 принтера 
Интерфейс 
компьютера 


Интерфейсная 
карта принтера 


Сетевая 
интерфейсная 


Сетевая 
интерфейсная 
карта 


Принтер 


Контроллер 


Интерфейс Интерфейс 
компьютер—компьютер компьютер—принтер 


Рис. 2.3. Совместное использование принтера в компьютерной сети 
с помощью сетевой службы печати 
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Обобщая такой подход применительно к другим типам разделяемых ресурсов, дадим 
следующие определения!: 


Клиент — это модуль, предназначенный для формирования и передачи сообщений-запросов 
к ресурсам удаленного компьютера от разных приложений с последующим приемом результатов 
из сети и передачей их соответствующим приложениям. 


Сервер — это модуль, который постоянно ожидает прихода из сети запросов от клиентов и, при- 
няв запрос, пытается его обслужить, как правило, с участием локальной ОС; один сервер может 
обслуживать запросы сразу нескольких клиентов (поочередно или одновременно). 


Пара клиент-сервер, предоставляющая доступ к конкретному типу ресурса компьютера через 
сеть, образует сетевую службу. 


Каждая служба связана с определенным типом сетевых ресурсов. Так, на рис. 2.3 модули кли- 
ента и сервера, реализующие удаленный доступ к принтеру, образуют сетевую службу печати. 


Среди сетевых служб можно выделить такие, которые ориентированы не на простого 
пользователя, как, например, файловая служба или служба печати, а на администратора. 
Такие службы направлены на организацию работы сети. Например, справочная служба 
или служба каталогов предназначена для ведения базы данных о пользователях сети, обо 
всех ее программных и аппаратных компонентах. 


Услуги, предоставляемые службой, называются сервисом. 


Служба может предоставлять сервис одного или нескольких типов. Так, к числу услуг, 
оказываемых справочной службой, помимо учета ресурсов, относятся сервисы аудита, 
аутентификации, авторизации и др. 


Для поиска и просмотра информации в Интернете используется веб-служба, состоящая 
из веб-сервера и клиентской программы; называемой веб-браузером (мер Бго\изег). Раз- 
деляемым ресурсом в данном случае является веб-сайт — определенным образом органи- 
зованный набор файлов, содержащих связанную в смысловом отношении информацию 
и хранящихся на внешнем накопителе веб-сервера. 


На схеме веб-службы; показанной на рис. 2.4, два компьютера связаны не непосредственно, 
как это было во всех предыдущих примерах, а через множество промежуточных компьюте- 
ров и других сетевых устройств, входящих в состав Интернета. Чтобы отразить этот факт 
графически‚мыгиоместили между двумя компьютерами так называемое коммуникацион- 
ное облако, позволяющее абстрагироваться от всех деталей среды передачи сообщений. 
Обмен сообщениями между клиентской и серверной частями веб-службы выполняется 
по стандартному протоколу НТТР и никак не зависит от того, передаются ли эти сообще- 


| Сервером и клиентом также называют компьютеры, на которых работают серверная и клиентская 
части сетевой службы соответственно. 
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ния «из рук в руки» (от интерфейса одного компьютера к интерфейсу другого) или через 
большое число посредников — транзитных коммуникационных устройств. Вместе с тем 
усложнение среды передачи сообщений приводит к возникновению новых дополнительных 
задач, на решение которых не был рассчитан упоминавшийся ранее простейший драйвер 
сетевой интерфейсной карты. Вместо него на взаимодействующих компьютерах должны 
быть установлены более развитые программные транспортные средства. 


Компьютер А (клиент) Компьютер В (сервер) 


Приложение 


Веб-служба 


Протокол 


о о о ш о о о ен о а ш әгә о о Л ш ә а 


Операционная 
система 


Операционная 
система 


Драйвер 
дискового 
накопителя 


— 


Интерфейсная р Интернет 
карта 


Сетевое 
соединение 


Сетевое 
соединение 


Внешний дисковый 
накопитель 


Рис. 2.4. Веб-служба 


Сетевая операционная система 


Операционную систему компьютера часто определяют как взаимосвязанный набор систем- 
ных программ, который обеспечивает эффективное управление ресурсами компьютера 
(памятью, процессором, внешними устройствами, файлами и др.), а также предоставляет 
пользователю удобный интерфейс для работы с аппаратурой компьютера и разработки 
приложений. 


Говоря о сетевой ОС, мы, очевидно, должны расширить границы управляемых ресурсов 
за пределы одного компьютера. 


Сетевой операционной системой называют операционную систему компьютера, которая, 
помимо управления локальными ресурсами, предоставляет пользователям и приложениям воз- 
можность эффективного и удобного доступа к информационным и аппаратным ресурсам других 
компьютеров сети. 
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Сегодня практически все операционные системы являются сетевыми. 


Из примеров, рассмотренных в предыдущих разделах (см. рис. 2.3 и 2.4), мы видим, что 
удаленный доступ к сетевым ресурсам обеспечивается: 


О сетевыми службами; 


О средствами транспортировки сообщений по сети (в простейшем случае — сетевыми 
интерфейсными картами и их драйверами). 


Следовательно, именно эти функциональные модули должны быть добавлены к ОС, чтобы 
она могла называться сетевой (рис. 2.5). 


Сетевая операционная система 


Транспортные средства 


Рис. 2.5. Функциональные компоненты сетевой ОС 


От того, насколько богатый набор сетевых служб и услуг предлагает операционная систе- 
ма конечным пользователям, приложениям и администраторам сети, зависит ее позиция 
в общем ряду сетевых ОС. 


Помимо сетевых служб сетевая ОС включает программные коммуникационные (транспорт- 
ные) средства, обеспечивающие совместно с аппаратными коммуникационными средствами 
передачу сообщений, которыми обмениваются клиентские и серверные части сетевых служб. 
Задачу коммуникации между компьютерами сети решают драйверы и протокольные модули. 
Они выполняют такие функции, как формирование сообщений, разбиение сообщения на 
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части (пакеты, кадры), преобразование имен компьютеров в числовые адреса, дублирование 
сообщений в случае их потери, определение маршрута в сложной сети ит. д. 


И сетевые службы, и транспортные средства могут являться неотъемлемыми (встроен- 
ными) компонентами ОС или существовать в виде отдельных программных продуктов. 
Например, сетевая файловая служба обычно встраивается в ОС, а вот веб-браузер чаще 
всего является отдельным приложением. Типичная сетевая ОС имеет в своем составе 
широкий набор драйверов и протокольных модулей, однако у пользователя, как правило, 
есть возможность дополнить этот стандартный набор необходимыми ему программами. 
Решение о способе реализации клиентов и серверов сетевой службы, а также драйверов 
и протокольных модулей принимается разработчиками с учетом самых разных соображе- 
ний: технических, коммерческих и даже юридических. Так, например, именно на основании 
антимонопольного закона США компании М!сгозой было запрещено включать ее браузер 
ПцегпеЕ Ехр]огег в состав ОС этой компании. 


Сетевая служба может быть представлена в ОС либо обеими (клиентской и серверной) 
частями, либо только одной из них. 


В первом случае операционная система, называемая одноранговой, не только позволяет 
обращаться к ресурсам других компьютеров, но и предоставляет собственные ресурсы 
в распоряжение пользователей других компьютеров. Например, если на всех компьютерах 
сети установлены и клиенты, и серверы файловой службы, то все пользователи сети могут 
совместно использовать файлы друг друга. Компьютеры, совмещающие функции клиента 
и сервера, называют одноранговыми узлами. 


Операционная система, которая содержит преимущественно клиентские части сетевых 
служб, называется клиентской. Клиентские ОС устанавливаются на компьютеры, обра- 
щающиеся с запросами к ресурсам других компьютеров сети. За такими компьютерами, 
также называемыми клиентскими, работают рядовые пользователи. Обычно клиентские 
компьютеры относятся к классу относительно простых устройств. 


К другому типу операционных систем относится серверная ОС — она ориентирована на об- 
работку запросов из сети к ресурсам своего компьютера и включает в себя в основном сервер- 
ные части сетевых служб. Компьютер с установленной на нем серверной ОС, занимающийся 
исключительно обслуживанием запросов других компьютеров, называют выделенным 
сервером сети. За выделенным сервером, как правило, обычные пользователи не работают. 


ПРИМЕЧАНИЕ 


Подробнее о сетевых операционных системах и встроенных в них сетевых службах вы можете про- 
читать в специальной литературе, а также в учебнике авторов «Сетевые операционные системы». 
Наиболее популярные сетевые службы Интернета, такие как электронная почта, веб-служба, [Р- 
телефония и др., рассматриваются далее в части УП этой книги. 


Сетевые приложения 


На компьютере, подключенном к сети, могут запускаться приложения нескольких типов: 


Ц Локальное приложение целиком выполняется на данном компьютере и использует 
только локальные ресурсы (рис. 2.6, а). Для такого приложения не требуется никаких 
сетевых средств, оно может быть выполнено на автономно работающем компьютере. 
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Рис. 2.6. Типы приложений, выполняющихся в сети 
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Ч Централизованное сетевое приложение целиком выполняется на данном компьютере. 
но обращается в процессе своей работы к ресурсам других компьютеров сети. В примере 
на рис. 2.6, 6 приложение, которое выполняется на клиентском компьютере, обрабаты- 
вает данные из файла, хранящегося на файл-сервере, а затем распечатывает результаты 
на принтере, подключенном к серверу печати. Очевидно, что работа такого типа прило- 
жений невозможна без участия сетевых служб и средств транспортировки сообщений. 


Ц Распределенное (сетевое) приложение состоит из нескольких взаимодействующих 
частей, каждая из которых выполняет какую-то определенную законченную работу по 
решению прикладной задачи, причем каждая часть может выполняться и, как правило, 
выполняется на отдельном компьютере сети (рис. 2.6, в). Части распределенного при- 
ложения взаимодействуют друг с другом, используя сетевые службы и транспортные 
средства ОС. Распределенное приложение в общем случае имеет доступ ко всем ресур- 
сам компьютерной сети. 


Очевидным преимуществом распределенных приложений является возможность распарал- 
леливания вычислений, а также специализация компьютеров. Так, в приложении, предна- 
значенном, скажем, для анализа климатических изменений, можно выделить три достаточно 
самостоятельные части (см. рис. 2.6, в), допускающие распараллеливание. Первая часть 
приложения, выполняющаяся на сравнительно маломощном персональном компьютере, 
могла бы поддерживать специализированный графический пользовательский интерфейс, 
вторая — заниматься статистической обработкой данных на высокопроизводительном 
мейнфрейме, третья — генерировать отчеты на сервере с установленной стандартной СУБД. 
В общем случае каждая из частей распределенного приложения может быть представлена 
несколькими копиями, работающими на разных компьютерах. Скажем, в данном примере 
первую часть, ответственную за поддержку специализированного пользовательского интер- 
фейса. можно было бы запустить на нескольких персональных компьютерах, что позволило 
бы работать с этим приложением нескольким пользователям одновременно. 


Однако чтобы добиться всех тех преимуществ, которые сулят распределенные приложения, 
разработчикам этих приложений приходится решать множество проблем, например: на 
сколько частей следует разбить приложение, какие функции возложить на каждую часть, 
как организовать взаимодействие этих частей, чтобы в случае сбоев и отказов оставшиеся 
части корректно завершали работу, и т. д. ит. п. 


Заметим, что все сетевые службы, включая файловую службу, службу печати, службу элек- 
тронной почты, службу удаленного доступа, интернет-телефонию и др., по определению 
относятся к классу распределенных приложений. Действительно, любая сетевая служба 
включает в себя клиентскую и серверную части, которые могут выполняться и обычно 
выполняются на разных компьютерах. 


На рис. 2.7, иллюстрирующем распределенный характер веб-службы, мы видим различ- 
ные виды клиентских устройств — персональные компьютеры, ноутбуки и мобильные 
телефоны — с установленными на них веб-браузерами, которые взаимодействуют по сети 
с веб-сервером. Таким образом, с одним и тем же веб-сайтом может одновременно работать 
множество — сотни и тысячи — сетевых пользователей. 


Многочисленные примеры распределенных приложений можно встретить и в такой об- 
ласти, как обработка данных научных экспериментов. Это не удивительно, так как мно- 
гие эксперименты порождают такие большие объемы данных, генерируемых в реальном 
масштабе времени, которые просто невозможно обработать на одном, даже очень мощном 
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Рис. 2.7. Веб-служба как распределенное приложение 


суперкомпьютере. Кроме того, алгоритмы обработки экспериментальных данных часто 
легко распараллеливаются, что также важно для успешного применения взаимосвязанных 
компьютеров с целью решения какой-либо общей задачи. Одним из известных примеров 
распределенного научного приложения является программное обеспечение обработки 
данных большого адронного коллайдера (агре Надгоп СоШ4ег, НС), запущенного 10 сен- 
тября 2008 года в СЕК, -- это приложение работает более чем на 30 тысячах компьютеров, 
объединенных в сеть. 


Физическая передача данных 
по линиям связи 


Даже при рассмотрении простейшей сети, состоящей всего из двух машин, можно выявить 
многие проблемы, связанные с физической передачей сигналов по линиям связи. 


Кодирование 


В вычислительной технике для представления данных используется двоичный код. Внутри 
компьютера единицам и нулям данных соответствуют дискретные электрические сигналы. 


Представление данных в виде электрических или оптических сигналов называется кодирова- 
нием. 
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Существуют различные способы кодирования двоичных цифр, например, потенциальный 
способ, при котором единице соответствует один уровень напряжения, а нулю — другой, 
или импульсный способ, когда для представления цифр используются импульсы раз- 
личной полярности. 


Аналогичные подходы применимы для кодирования данных и при передаче их между 
двумя компьютерами по линиям связи. Однако эти линии связи отличаются по своим 
характеристикам от линий внутри компьютера. Главное отличие внешних линий связи от 
внутренних состоит в их гораздо большей протяженности, а также в том, что они проходят 
вне экранированного корпуса по пространствам, зачастую подверженным воздействию 
сильных электромагнитных помех. Все это приводит к существенно большим искажениям 
прямоугольных импульсов (например, «заваливанию» фронтов), чем внутри компьютера. 
Поэтому для надежного распознавания импульсов на приемном конце линии связи при 
передаче данных внутри и вне компьютера не всегда можно использовать одни и те же 
скорости и способы кодирования. Например, медленное нарастание фронта импульса из- 
за высокой емкостной нагрузки линии требует, чтобы импульсы передавались с меньшей 
скоростью (чтобы передний и задний фронты соседних импульсов не перекрывались, 
и импульс успел «дорасти» до требуемого уровня). 


В вычислительных сетях применяют как потенциальное, так и импульсное кодирование 
дискретных данных, а также специфический способ представления данных, который 
никогда не используется внутри компьютера, — модуляцию (рис. 2.8). При модуляции 
дискретная информация представляется синусоидальным сигналом той частоты, которую 
хорошо передает имеющаяся линия связи. 


| | Потенциальное 
кодирование 
| | | | | | Импульсное 
кодирование 


Модуляция 


Рис. 2.8. Примеры представления дискретной информации 


Потенциальное и импульсное кодирование применяется на каналах высокого качества, 
а модуляция на основе синусоидальных сигналов предпочтительнее в том случае, когда 
канал вносит сильные искажения в передаваемые сигналы. Например, модуляция ис- 
пользуется в глобальных сетях при передаче данных через аналоговые телефонные каналы 
связи, которые были разработаны для передачи голоса в аналоговой форме и поэтому плохо 
подходят для непосредственной передачи импульсов. 


На способ передачи сигналов влияет и количество проводов в линиях связи между компью- 
терами. Для снижения стоимости линий связи в сетях обычно стремятся к сокращению 
количества проводов и из-за этого передают все биты одного байта или даже нескольких 
байтов не параллельно, как это делается внутри компьютера, а последовательно (побитно), 
для чего достаточно всего одной пары проводов. 
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Еще одной проблемой, которую нужно решать при передаче сигналов, является проблема 
взаимной синхронизации передатчика одного компьютера с приемником другого. При ор- 
ганизации взаимодействия модулей внутри компьютера эта проблема решается очень про- 
сто, так как в этом случае все модули синхронизируются от общего тактового генератора. 
Проблема синхронизации при связи компьютеров может решаться разными способами — 
как путем обмена специальными тактовыми синхроимпульсами по отдельной линии, так 
и путем периодической синхронизации заранее обусловленными кодами или импульсами 
характерной формы, отличающейся от формы импульсов данных. 


Несмотря на предпринимаемые меры (выбор соответствующей скорости обмена данны- 
ми, линий связи с определенными характеристиками, способа синхронизации приемника 
и передатчика), вероятность искажения некоторых битов передаваемых данных сохраня- 
ется. Для повышения надежности передачи данных между компьютерами, как правило, 
используется стандартный прием — подсчет контрольной суммы и передача полученного 
значения по линиям связи после каждого байта или после некоторого блока байтов. Часто 
в протокол обмена данными включается как обязательный элемент сигнал-квитанция, 
который подтверждает правильность приема данных и посылается от получателя отпра- 
вителю. 


Характеристики физических каналов 


Существует большое количество характеристик, связанных с передачей трафика через 
физические каналы. С теми из них, которые будут необходимы нам уже в ближайшее 
время, мы коротко познакомимся сейчас, а позже изучим их и некоторые другие сетевые 
характеристики более детально. 


0 Предложенная нагрузка — это поток данных, поступающий от приложения пользовате- 
ля на вход сети, которая всегда готова принять данные. Предложенную нагрузку можно 
характеризовать скоростью генерации данных в битах в секунду. Эта характеристика 
описывает интенсивность работы источника информации и абстрагируется от свойств 
физических каналов. 


О Пропускная способность!, называемая также емкостью канала связи (сарасКу), пред- 
ставляет собой максимально возможную скорость передачи информации по данному ка- 
налу. Данная характеристика никак не связана с предложенной нагрузкой. Она отражает 
скоростные возможности сети, определяемые параметрами физической среды передачи, 
а также особенностями выбранного способа передачи дискретной информации в этой 
среде. Например, пропускная способность канала связи в сети Есћегпеѓ на оптическом 
волокне равна 10 Мбит/с. Эта скорость является предельно возможной для сочетания 
технологии Еегпе и оптического волокна. Однако для того же самого оптического 
волокна можно разработать другую технологию передачи, отличающуюся способом 
кодирования данных, тактовой частотой и другими параметрами, которая будет иметь 
другую пропускную способность. Так, технология Еаѕі Е{фегпе{ обеспечивает переда- 
чу данных по тому же оптическому волокну с максимальной скоростью 100 Мбит/с, 
а технология Сівабіє Ефегпеё — 1000 Мбит/с. 


1 Читайте более подробно о пропускной способности в разделе «Характеристики линий связи» гла- 
вы 6. 
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Для анализа и настройки сети очень полезно знать данные о пропускной способности 
отдельных элементов сети. Из-за последовательного характера передачи данных раз- 
личными элементами сети общая пропускная способность любого составного пути 
в сети будет равна минимальной из пропускных способностей составляющих элементов 
маршрута. Для повышения пропускной способности составного пути необходимо в пер- 
вую очередь обратить внимание на самые медленные элементы, называемые узкими 
местами (Бо епесК). 


О Скорость передачи данных! (іпіогтаѓіоп гаѓе, или ћгоџрћриг, оба английских термина 
используются равноправно) — это фактическая скорость потока данных, прошедшего 
через сеть или некоторые ее фрагменты. Скорость информационного потока, называ- 
емая также скоростью передачи данных, определяется как частное от деления объема 
данных, переданных за некоторый интервал времени, на величину этого интервала. 
Из определения следует, что эта характеристика всегда является усредненной. Она 
отражает как скорость поступления данных в сеть — предложенную нагрузку, так 
и скоростные свойства физических каналов — пропускную способность сети. Скорость 
передачи данных может быть ниже предложенной нагрузки, так как данные в сети могут 
искажаться или теряться, или на некоторых участках выше — когда предварительно 
буферизованные данные передаются скоростным каналом. Но скорость передачи дан- 
ных по некоторому каналу никогда не может превысить его пропускной способности. 


Еще одна группа характеристик канала связи связана с возможностью передачи информа- 
ции по каналу в одну или обе стороны. 


При взаимодействии двух компьютеров обычно требуется передавать информацию в обо- 
их направлениях, от компьютера А к компьютеру В и обратно. Даже в том случае, когда 
пользователю кажется, что он только получает информацию (например, загружает музы- 
кальный файл из Интернета) или только ее передает (отправляет электронное письмо), 
обмен информацией идет в двух направлениях. Просто существует основной поток данных, 
которые интересуют пользователя, и вспомогательный поток противоположного направ- 
ления, который образуют квитанции о получении этих данных. 


Физические каналы связи делятся на несколько типов в зависимости от того, могут они 
передавать информацию в обоих направлениях или нет. 


О Дуплексный канал обеспечивает одновременную передачу информации в обоих на- 
правлениях. Дуплексный канал может состоять из двух физических сред, каждая 
из которых используется для передачи информации только в одном направлении. 
Возможен вариант, когда одна среда служит для одновременной передачи встречных 
потоков. При этом применяют дополнительные методы выделения каждого потока из 
суммарного сигнала. 


О Полудуплексный канал также обеспечивает передачу информации в обоих направ- 
лениях, но не одновременно, а по очереди. То есть в течение определенного периода 
времени информация передается в одном направлении, а в течение следующего пери- 
ода — в обратном. 


О Симплексный канал позволяет передавать информацию только в одном направлении. 
Часто дуплексный канал состоит из двух симплексных каналов. 


і Читайте более подробно о скорости передачи данных в разделе «Характеристики скорости пере- 
дачи» главы 5. 
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Подробно вопросы физической передачи дискретных данных обсуждаются в части 11 этой 
книги. 


Проблемы связи нескольких компьютеров 


До сих пор мы рассматривали вырожденную сеть, состоящую всего из двух машин. При 
объединении в сеть большего числа компьютеров возникает целый комплекс новых про- 
блем. 


Топология физических связей 


Объединяя в сеть несколько (больше двух) компьютеров, необходимо решить, каким об- 
разом соединить их друг с другом, другими словами, выбрать конфигурацию физических 
связей, или их топологию. 


Под топологией сети понимается конфигурация графа, вершинам которого соответствуют 
конечные узлы сети (например, компьютеры) и коммуникационное оборудование (например, 
маршрутизаторы), а ребрам — физические или информационные связи между вершинами. 


Число возможных вариантов конфигурации резко возрастает при увеличении числа 
связываемых устройств. Так, если три компьютера мы можем связать двумя способами 
(рис. 2.9, а), то для четырех можно предложить уже шесть топологически разных конфи- 
гураций (при условии неразличимости компьютеров, рис. 2.9, 6). 


5 = 


а 


а 7 (=. 
Е МЕ Е 


‹) 


Рис. 2.9. Варианты связи компьютеров 


Мы можем соединять каждый компьютер с каждым или же связывать их последователь- 
но, предполагая, что они будут общаться, передавая сообщения друг другу «транзитом». 
Транзитные узлы должны быть оснащены специальными средствами, позволяющими им 
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выполнять эту специфическую посредническую операцию. В качестве транзитного узла 
может выступать как универсальный компьютер, так и специализированное устройство. 


От выбора топологии связей существенно зависят характеристики сети. Например, на- 
личие между узлами нескольких путей повышает надежность сети и делает возможным 
распределение загрузки между отдельными каналами. Простота присоединения новых уз- 
лов, свойственная некоторым топологиям, делает сеть легко расширяемой. Экономические 
соображения часто приводят к выбору топологий, для которых характерна минимальная 
суммарная длина линий связи. 


Среди множества возможных конфигураций различают полносвязные и неполносвязные. 


Полносвязная топология соответствует сети, в которой каждый компьютер непосред- 
ственно связан со всеми остальными (рис. 2.10, а). Несмотря на логическую простоту, этот 
вариант оказывается на практике громоздким и неэффективным. Действительно, в таком 
случае каждый компьютер в сети должен иметь большое количество коммуникационных 
портов, достаточное для связи с каждым из остальных компьютеров сети. Для каждой пары 
компьютеров должна быть выделена отдельная физическая линия связи (в некоторых слу- 
чаях даже две, если невозможно использование этой линии для двусторонней передачи). 
Полносвязные топологии в крупных сетях применяются редко, так как для связи М узлов 
требуется ММ - 1)/2 физических дуплексных линий связей, то есть имеет место квадра- 
тичная зависимость от числа узлов. Обычно этот вид топологии используется в много- 
машинных комплексах или в сетях, объединяющих небольшое количество компьютеров. 


Центральный 
элемент 


г д е 


Рис. 2.10. Типовые топологии сетей 


Все другие варианты основаны на неполносвязных топологиях, когда для обмена данны- 
ми между двумя компьютерами может потребоваться транзитная передача данных через 
другие узлы сети. 
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Ячеистая топология получается из полносвязной путем удаления некоторых связей 
(рис. 2.10, б). Ячеистая топология допускает соединение большого количества компьютеров 
и характерна, как правило, для крупных сетей. 


В сетях с кольцевой топологией (рис. 2.10, в) данные передаются по кольцу от одного ком- 
пьютера к другому. Главным достоинством кольца является то, что оно по своей природе 
обеспечивает резервирование связей. Действительно, любая пара узлов соединена здесь дву- 
мя путями — по часовой стрелке и против нее. Кроме того, кольцо представляет собой очень 
удобную конфигурацию для организации обратной связи — данные, сделав полный оборот, 
возвращаются к узлу-источнику. Поэтому источник может контролировать процесс доставки 
данных адресату. Часто это свойство кольца используется для тестирования связности сети 
и поиска узла, работающего некорректно. В то же время в сетях с кольцевой топологией не- 
обходимо принимать специальные меры, чтобы в случае выхода из строя или отключения 
какого-либо компьютера не прерывался канал связи между остальными узлами кольца. 


Звездообразная топология (рис. 2.10, г) образуется в случае, когда каждый компьютер 
подключается непосредственно к общему центральному устройству, называемому кон- 
центратором!. В функции концентратора входит направление передаваемой компьютером 
информации одному или всем остальным компьютерам сети. В качестве концентратора 
может выступать как универсальный компьютер, так и специализированное устройство. 
К недостаткам звездообразной топологии относится более высокая стоимость сетевого 
оборудования из-за необходимости приобретения специализированного центрального 
устройства. Кроме того, возможности по наращиванию количества узлов в сети ограни- 
чиваются количеством портов концентратора. 


Иногда имеет смысл строить сеть с использованием нескольких концентраторов, иерар- 
хически соединенных между собой звездообразными связями (рис. 2.10, д). Получаемую 
в результате структуру называют иерархической звездой, или деревом. В настоящее 
время дерево является самой распространенной топологией связей как в локальных, так 
и глобальных сетях. 


Особым частным случаем звезды является общая шина (рис. 2.10, е). Здесь в качестве 
центрального элемента выступает пассивный кабель, к которому по схеме «монтажного 
ИЛИ» подключается несколько компьютеров (такую же топологию имеют многие сети, 
использующие беспроводную связь — роль общей шины здесь играет общая радиосреда). 
Передаваемая информация распространяется по кабелю и доступна одновременно всем 
компьютерам, присоединенным к этому кабелю. Основными преимуществами такой схемы 
являются ее дешевизна и простота присоединения новых узлов к сети, а недостатками — 
низкая надежность (любой дефект кабеля полностью парализует всю сеть) и невысокая 
производительность (в каждый момент времени только один компьютер может передавать 
данные по сети, поэтому пропускная способность делится здесь между всеми узлами сети). 


В то время как небольшие сети, как правило, имеют типовую топологию — звезда, кольцо 
иги общая шина, — для крупных сетей характерно наличие произвольных связей между 
компьютерами. В таких сетях можно выделить отдельные произвольно связанные фрагмен- 
ты (подсети), имеющие типовую топологию, поэтому их называют сетями со смешанной 
топологией (рис. 2.11). 


1 В данном случае термин «концентратор» используется в широком смысле, обозначая любое много- 
входовое устройство, способное служить центральным элементом — например, коммутатор или 
маршрутизатор. 
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Рис. 2.11. Смешанная топология 


Адресация узлов сети 


Еще одной новой проблемой, которую нужно учитывать при объединении трех и более ком- 
пьютеров, является проблема их адресации, точнее, адресации их сетевых интерфейсов. 
Один компьютер может иметь несколько сетевых интерфейсов. Например, для создания 


полносвязной структуры из № компьютеров необходимо, чтобы у каждого из них имелся 
М№- 1 интерфейс. 


По количеству адресуемых интерфейсов адреса можно классифицировать следующим 
образом: 


Ц уникальный адрес (ипісаѕі) используется для идентификации отдельных интерфейсов; 


О групповой адрес (тиібісаѕі) идентифицирует сразу несколько интерфейсов, поэтому 
данные, помеченные групповым адресом, доставляются каждому из узлов, входящих 
в группу; 

О данные, направленные по широковещательному адресу (Бгоайсаѕї), должны быть до- 
ставлены всем узлам сети; 


О адрес произвольной рассылки (апусаѕі), так же как и групповой адрес, задает группу 
адресов, однако данные, посланные по этому адресу, доставляются не всем узлам дан- 
ной группы, а только одному из них. Выбор этого узла осуществляется в соответствии 
с некоторыми правилами предпочтения. 


Адреса могут быть числовыми (например, 129.26.255.255 или 81.1а.Н.Й) и символьными 
(зНе.аотеп.ги, міііі-міпкі). 


Символьные адреса (имена) предназначены для запоминания людьми и поэтому обычно 
несут смысловую нагрузку. Для работы в больших сетях символьное имя может иметь ие- 
рархическую структуру, например ћр-агсћі1.ис!.ас.ик. Этот адрес говорит о том, что данный 
компьютер поддерживает Ёр-архив в сети одного из колледжей Лондонского университета 
(Опіуегѕісу СоПере [.оп4доп — ис!) и эта сеть относится к академической ветви (ас) Интернета 


1 Иногда вместо точного выражения «адрес сетевого интерфейса» мы будем использовать упрощен- 
ное — «адрес узла сети». 
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Великобритании (Опісеа Кіпріот — ик). При работе в пределах сети Лондонского универ- 
ситета такое длинное символьное имя явно избыточно, и вместо него можно пользоваться 
кратким символьным именем Яр-агсп1. Хотя символьные имена удобны для людей, из-за 
переменного формата и потенциально большой длины их передача по сети не экономична. 


Множество всех адресов, которые являются допустимыми в рамках некоторой схемы адресации, 
называется адресным пространством. Адресное пространство может иметь плоскую (линей- 
ную) или иерархическую организацию. 


При плоской организации множество адресов никак не структурировано. Примером 
плоского числового адреса является МАС-адрес, предназначенный для однозначной 
идентификации сетевых интерфейсов в локальных сетях. Такой адрес обычно исполь- 
зуется только аппаратурой, поэтому его стараются сделать по возможности компактным 
и записывают в виде двоичного или шестнадцатеричного числа, например 0081005е24а8. 
При задании МАС-адресов не требуется выполнять никакой ручной работы, так как они 
обычно встраиваются в аппаратуру компанией-изготовителем, поэтому их называют так- 
же аппаратными адресами (Баг4угаге аййгеѕѕ). Использование плоских адресов является 
жестким решением — при замене аппаратуры, например сетевого адаптера, изменяется 
и адрес сетевого интерфейса компьютера. 


При иерархической организации адресное пространство структурируется в виде вложен- 
ных друг в друга подгрупп, которые, последовательно сужая адресуемую область, в конце 
концов, определяют отдельный сетевой интерфейс. Например, в трехуровневой структуре 
адресного пространства адрес конечного узла может задаваться тремя составляющими: 


О идентификатором группы (К), в которую входит данный узел; 
О идентификатором подгруппы (1); 
О идентификатором узла (п), однозначно определяющим его в подгруппе. 


Иерархическая адресация во многих случаях оказывается более рациональной, чем пло- 
ская. В больших сетях, состоящих из многих тысяч узлов, использование плоских адресов 
приводит к большим издержкам — конечным узлам и коммуникационному оборудованию 
приходится оперировать таблицами адресов, состоящими из тысяч записей. В противопо- 
ложность этому иерархическая система адресации позволяет при перемещении данных до 
определенного момента пользоваться только старшей составляющей адреса (например, 
идентификатором группы К), затем (для дальнейшей локализации адресата) задействовать 
следующую по старшинству часть (Г) и в конечном счете — младшую часть (п). 


Типичными представителями иерархических числовых адресов являются сетевые [Р- 
адреса. В них поддерживается двухуровневая иерархия, адрес делится на старшую часть — 
номер сети и младшую — номер узла. Такое деление позволяет передавать сообщения 
между сетями только на основании номера сети, а номер узла требуется уже после доставки 
сообщения в нужную сеть — точно так же, как название улицы используется почтальоном 
только после того, как письмо доставлено в нужный город. 


На практике обычно применяют сразу несколько схем адресации, так что сетевой интер- 
фейс компьютера может одновременно иметь несколько адресов-имен. Каждый адрес 
задействуется в той ситуации, когда соответствующий вид адресации наиболее удобен. 
А для преобразования адресов из одного вида в другой используются специальные вспо- 
могательные протоколы, которые называют протоколами разрешения адресов. 
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Пользователи адресуют компьютеры иерархическими символьными именами, которые 
автоматически заменяются в сообщениях, передаваемых по сети, иерархическими число- 
выми адресами. С помощью этих числовых адресов сообщения доставляются из одной сети 
в другую, а после доставки сообщения в сеть назначения вместо иерархического числового 
адреса используется плоский аппаратный адрес компьютера. Проблема установления со- 
ответствия между адресами различных типов может решаться как централизованными, 
так и распределенными средствами. 


При централизованном подходе в сети выделяется один или несколько компьютеров (сер- 
веров имен), в которых хранится таблица соответствия имен различных типов — например, 
символьных имен и числовых адресов. Все остальные компьютеры обращаются к серверу 
имен с запросами, чтобы по символьному имени найти числовой номер необходимого 
компьютера. 


При распределенном подходе каждый компьютер сам хранит все назначенные ему адреса 
разного типа. Тогда компьютер, которому необходимо определить по известному иерархи- 
ческому числовому адресу некоторого компьютера его плоский аппаратный адрес, посы- 
лает в сеть широковещательный запрос. Все компьютеры сети сравнивают содержащийся 
в запросе адрес с собственным. Тот компьютер, у которого обнаружилось совпадение, 
посылает ответ, содержащий искомый аппаратный адрес. Такая схема использована в про- 
токоле разрешения адресов (АЧагез$ Кезошиоп Ргобосо|, АКР) стека ТСР/[Р. 


Достоинство распределенного подхода состоит в том, что он позволяет отказаться от выде- 
ления специального компьютера в качестве сервера имен, который к тому же часто требует 
ручного задания таблицы соответствия адресов. Недостатком его является необходимость 
широковещательных сообщений, перегружающих сеть. Именно поэтому распределенный 
подход используется в небольших сетях, а централизованный — в больших. 


До сих пор мы говорили об адресах сетевых интерфейсов, компьютеров и коммуникаци- 
онных устройств, однако конечной целью данных, пересылаемых по сети, являются не 
сетевые интерфейсы или компьютеры, а выполняемые на этих устройствах программы — 
процессы. Поэтому в адресе назначения наряду с информацией, идентифицирующей 
интерфейс устройства, должен указываться адрес процесса, которому предназначены 
посылаемые по сети данные. Очевидно, что достаточно обеспечить уникальность адреса 
процесса в пределах компьютера. Примером адресов процессов являются номера портов 
ТСР и ОПР, используемые в стеке ТСРУТР. 


Коммутация 


Пусть компьютеры физически связаны между собой в соответствии с некоторой топологи- 
ей, выбрана система адресации. Остается нерешенным вопрос: каким образом передавать 
данные между конечными узлами? Особую сложность приобретает эта задача для неполно- 
связной топологии сети, когда обмен данными между произвольной парой конечных узлов 
(пользователей) должен идти в общем случае через транзитные узлы. 


Соединение конечных узлов через сеть транзитных узлов называют коммутацией. Последова- 
тельность узлов, лежащих на пути от отправителя к получателю, образует маршрут. 
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Например, в сети, показанной на рис. 2.12, узлы 2 и 4, непосредственно между собой не свя- 
занные, вынуждены передавать данные через транзитные узлы, в качестве которых могут 
выступить, например, узлы 1 и 5. Узел 1 должен выполнить передачу данных между своими 
интерфейсами А и В, а узел 5 — между интерфейсами Ри В. В данном случае маршрутом 
является последовательность: 2-1-5-4, где 2 — узел-отправитель, 1 и 5 — транзитные узлы, 
4 — узел-получатель. 


Ө (2) 


Маршрут 


Интерфейс 6 (3) 
9 —а 


© 


Рис. 2.12. Коммутация абонентов через сеть транзитных узлов 


Обобщенная задача коммутации 


В самом общем виде задача коммутации может быть представлена в виде следующих вза- 
имосвязанных частных Задач: 


1. Определение информационных потоков, для которых требуется прокладывать марш- 
руты. 
2. Маршрутизация потоков — прокладка маршрутов. 


З. Продвижение потоков, то есть распознавание потоков и их локальная коммутация на 
каждом транзитном узле. 


4. Мультиплексирование и демультиплексирование потоков. 


Определение информационных потоков 


Понятно, что через один транзитный узел может проходить несколько маршрутов, напри- 
мер, через узел 5 (см. рис. 2.12) проходят как минимум все данные, направляемые узлом 4 
каждому из остальных узлов, а также все данные, поступающие в узлы 3, 4 и 10. Транзит- 
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ный узел должен уметь распознавать поступающие на него потоки данных, чтобы обеспе- 
чивать передачу каждого из них именно на тот свой интерфейс, который ведет к нужному 
узлу, и, возможно, чтобы выбрать специфический для данного потока способ его обработки. 


Информационным потоком, или потоком данных, называют непрерывную последовательность 
данных, объединенных набором общих признаков, выделяющих эти данные из общего сетевого 
трафика. 


Например, как поток можно определить все данные, поступающие от одного компьютера; 
объединяющим признаком в данном случае служит адрес источника. Эти же данные мож- 
но представить как совокупность нескольких подпотоков, каждый из которых в качестве 
дифференцирующего признака имеет адрес назначения. Наконец, каждый из этих подпо- 
токов, в свою очередь, можно разделить на более мелкие подпотоки, порожденные разными 
сетевыми приложениями — электронной почтой, программой копирования файлов, веб- 
сервером. Данные, образующие поток, могут быть представлены в виде последовательности 
различных информационных единиц данных — пакетов, кадров, ячеек. 


ПРИМЕЧАНИЕ 


В англоязычной литературе для потоков данных, передающихся с равномерной и неравномерной 
скоростью, обычно используют разные термины — соответственно «Чака ѕќгеат» и «Чака Йом». На- 
пример, при передаче веб-страницы через Интернет предложенная нагрузка представляет собой 
неравномерный поток данных, а при вещании музыки интернет-станцией — равномерный. Для 
сетей передачи данных характерна неравномерная скорость передачи, поэтому далее в большинстве 
ситуаций под термином «поток данных» мы будем понимать именно неравномерный поток данных 
и указывать на равномерный характер этого процесса только тогда, когда это нужно подчеркнуть. 


Очевидно, что при коммутации в качестве обязательного признака выступает адрес на- 
значения данных. На основании этого признака весь поток входящих в транзитный узел 
данных разделяется на подпотоки, каждый из которых передается на интерфейс, соответ- 
ствующий тому или иному маршруту продвижения данных. 


Адреса источника и назначения определяют поток для пары соответствующих конечных 
узлов. Однако часто бывает полезно представить этот поток в виде нескольких подпо- 
токов, причем для каждого из них может быть проложен свой особый маршрут. Рас- 
смотрим пример, когда на одной и той же паре конечных узлов выполняется несколько 
взаимодействующих по сети приложений, каждое из которых предъявляет к сети свои 
особые требования. В таком случае выбор маршрута должен осуществляться с учетом 
характера передаваемых данных, например, для файлового сервера важно, чтобы пере- 
даваемые им большие объемы данных направлялись по каналам, обладающим высокой 
пропускной способностью, а для программной системы управления, которая посылает 
в сеть короткие сообщения, требующие обязательной и немедленной отработки, при вы- 
боре маршрута более важна надежность линии связи и минимальный уровень задержек 
на маршруте. Кроме того, даже для данных, предъявляющих к сети одинаковые требо- 
вания, может прокладываться несколько маршрутов, чтобы за счет распараллеливания 
ускорить передачу данных. 


Возможна и обратная по отношению к выделению подпотоков операция — агрегирова- 
ние потоков. Обычно она выполняется на магистралях сетей, которые передают очень 
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большое количество индивидуальных потоков. Агрегирование потоков, имеющих общую 
часть маршрута через сеть, позволяет уменьшить количество хранимой промежуточными 
узлами сети информации, так как агрегированные потоки описываются в них как одно 
целое. В результате снижается нагрузка на промежуточные узлы сети и повышается их 
быстродействие. 


Признаки потока могут иметь глобальное или локальное значение — в первом случае они 
однозначно определяют поток в пределах всей сети, а во втором — в пределах одного 
транзитного узла. Пара идентифицирующих поток адресов конечных узлов — это пример 
глобального признака. Примером признака, локально определяющего поток в пределах 
устройства, может служить номер (идентификатор) интерфейса данного устройства, на 
который поступили данные. Например, возвращаясь к рис. 2.12, узел 1 может быть настроен 
так, чтобы передавать на интерфейс В все данные, поступившие с интерфейса А, а на интер- 
фейс С — данные, поступившие с интерфейса О. Такое правило позволяет отделить поток 
данных узла 2 от потока данных узла 7 и направлять их для транзитной передачи через 
разные узлы сети, в данном случае поток узла 2 — через узел 5, а поток узла 7 — через узел 8. 


Метка потока — это особый тип признака. Она представляет собой некоторое число, ко- 
торое несут все данные потока. Глобальная метка назначается данным потока и не меняет 
своего значения на всем протяжении его пути следования от узла источника до узла на- 
значения, таким образом, она уникально определяет поток в пределах сети. В некоторых 
технологиях используются локальные метки потока, динамически меняющие свое значе- 
ние при передаче данных от одного узла к другому. 


Таким образом, распознавание потоков во время коммутации происходит на основании при- 
знаков, в качестве которых, помимо обязательного адреса назначения данных, могут выступать 
и другие признаки — такие, например, как идентификаторы приложений. 


Маршрутизация 


Задача маршрутизации, в свою очередь, включает в себя две подзадачи: 
О определение маршрута; 
О оповещение сети о выбранном маршруте. 


Определить маршрут означает выбрать последовательность транзитных узлов и их интер- 
фейсов, через которые надо передавать данные, чтобы доставить их адресату. Определение 
маршрута — сложная задача, особенно когда конфигурация сети такова, что между парой 
взаимодействующих сетевых интерфейсов существует множество путей. Чаще всего выбор 
останавливают на одном оптимальном! по некоторому критерию маршруте. В качестве 
критериев оптимальности могут выступать, например, пропускная способность и за- 
груженность каналов связи; задержки, вносимые каналами; количество промежуточных 
транзитных узлов; надежность каналов и транзитных узлов. 


Маршрут может определяться эмпирически («вручную») администратором сети на основа- 
нии различных, часто не формализуемых соображений. Среди побудительных мотивов вы- 


1 На практике для снижения объема вычислений ограничиваются поиском не оптимального в мате- 
матическом смысле, а рационального, то есть близкого к оптимальному, маршрута. 
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бора пути могут быть: особые требования к сети со стороны различных типов приложений, 
решение передавать трафик через сеть определенного поставщика услуг, предположения 
о пиковых нагрузках на некоторые каналы сети, соображения безопасности. 


Однако эмпирический подход к определению маршрутов малопригоден для большой сети 
со сложной топологией. В этом случае используются автоматические методы определения 
маршрутов. Для этого конечные узлы и другие устройства сети оснащаются специальными 
программными средствами, которые организуют взаимный обмен служебными сообщени- 
ями, позволяющий каждому узлу составить свое «представление» о сети. Затем на основе 
собранных данных программными методами определяются рациональные маршруты. 


При выборе маршрута часто ограничиваются только информацией о топологии сети. 
Этот подход иллюстрирует рис. 2.13. Для передачи трафика между конечными узлами А 
и С существуют два альтернативных маршрута: А-1-2-3-Си А-1-3-С. Если мы учитываем 
только топологию, то выбор очевиден — маршрут А-1-3-С, который имеет меньше тран- 
зитных узлов. 


Рис. 2.13. Выбор маршрута 


Решение было найдено путем минимизации критерия, в качестве которого в данном при- 
мере выступала длина маршрута, измеренная количеством транзитных узлов. Однако, 
возможно, наш выбор был не самым лучшим. На рисунке показано, что каналы 1-2 и 2-3 
обладают пропускной способностью 100 Мбит/с каждый, а канал 1-3 — только 10 Мбит/с. 
Чтобы наша информация передавалась по сети с максимально возможной скоростью, 
следовало бы выбрать маршрут А-1-2-3-С, хотя он и проходит через большее количество 
промежуточных узлов. То есть можно сказать, что маршрут А-1-2-3-С в данном случае 
оказывается «более коротким». 


Абстрактная оценка условного «расстояния» между двумя узлами сети называется ме- 
трикой. Так, для измерения длины маршрута могут быть использованы разные метри- 
ки — количество транзитных узлов, как в предыдущем примере, линейная протяженность 
маршрута и даже его стоимость в денежном выражении. Для построения метрики, учи- 
тывающей пропускную способность, часто применяют следующий прием: длину каждого 
канала-участка характеризуют величиной, обратной его пропускной способности. Чтобы 
оперировать целыми числами, выбирают некоторую константу, заведомо большую, чем 
пропускные способности каналов в сети. Например, если мы в качестве такой константы 
выберем 100 Мбит/с, то метрика каждого из каналов 1-2 и 2-3 равна 1, а метрика канала 1-3 
составляет 10. Метрика маршрута равна сумме метрик составляющих его каналов, поэтому 
часть пути 1-2-3 обладает метрикой 2, а альтернативная часть пути 1-3 — метрикой 10. Мы 
выбираем более «короткий» путь, то есть путь А-1-2-3-С. 
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Описанные подходы к выбору маршрутов не учитывают текущую степень загруженности 
каналов трафиком!. Используя аналогию с автомобильным трафиком, можно сказать, что 
мы выбирали маршрут по карте, учитывая количество промежуточных городов и ширину 
дороги (аналог пропускной способности канала), отдавая предпочтение скоростным маги- 
стралям. Но при этом мы не учли радио- или телесообщения о текущих заторах на дорогах. 
Так что наше решение оказывается отнюдь не лучшим, когда по маршруту А-1-2-3-С уже 
передается большое количество потоков, а маршрут А-1-3-С практически свободен. 


После того как маршрут определен (вручную или автоматически), надо оповестить 
о нем все устройства сети. Сообщение о маршруте должно нести каждому транзитному 
устройству примерно такую информацию: «каждый раз, когда в устройство поступят 
данные, относящиеся к потоку п, их следует передать для дальнейшего продвижения на 
интерфейс 1/1». Каждое подобное сообщение о маршруте обрабатывается транзитным 
устройством, в результате создается новая запись в таблице коммутации (называемой 
также таблицей маршрутизации) данного устройства. В этой таблице локальному или 
глобальному признаку (признакам) потока (например, метке, номеру входного интерфейса 
или адресу назначения) ставится в соответствие номер интерфейса, на который устройство 
должно передавать данные, относящиеся к этому потоку. 


Таблица 2.1 является фрагментом таблицы коммутации, содержащим запись, сделанную 
на основании сообщения о необходимости передачи потока и на интерфейс 111. 


Таблица 2.1. Фрагмент таблицы коммутации 


Признаки потока Направление передачи данных (номер интерфейса 
и/или адрес следующего узла) 


В этой таблице в качестве признака потока использованы адрес назначения ПА, адрес ис- 
точника ЅА и тип приложения А, которое генерирует пакеты потока. 


Оповещение транзитных устройств о выбранных маршрутах, как и определение маршрута, 
может осуществляться вручную или автоматически. Администратор сети может зафик- 
сировать маршрут, выполнив в ручном режиме конфигурирование устройства, например, 
жестко скоммутировав на длительное время определенные пары входных и выходных 
интерфейсов (как работали «телефонные барышни» на первых коммутаторах). Он может 
также по собственной инициативе внести запись о маршруте в таблицу коммутации. 


Однако поскольку топология и состав информационных потоков могут меняться (отказы 
узлов или появление новых промежуточных узлов, изменение адресов или определение 
новых потоков), гибкое решение задач определения и задания маршрутов предполагает 
постоянный анализ состояния сети и обновление маршрутов и таблиц коммутации. В таких 
случаях задачи прокладки маршрутов, как правило, не могут быть решены без достаточно 
сложных программных и аппаратных средств. 


і Методы, в которых используется информация о текущей загруженности каналов связи, позволяют 
определять более рациональные маршруты, однако требуют интенсивного обмена служебной ин- 
формацией между узлами сети. 
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Продвижение данных 


Итак, пусть маршруты определены, записи о них сделаны в таблицах всех транзитных 
узлов, все готово к выполнению основной операции — передаче данных между абонентами 
(коммутации абонентов). 


Для каждой пары абонентов эта операция может быть представлена несколькими (по 
числу транзитных узлов) локальными операциями коммутации. Прежде всего отправитель 
должен выставить данные на тот свой интерфейс, с которого начинается найденный марш- 
рут, а все транзитные узлы должны соответствующим образом выполнить «переброску» 
данных с одного своего интерфейса на другой, другими словами, выполнить коммутацию 
интерфейсов. Устройство, функциональным назначением которого является коммутация, 
называется коммутатором. На рис. 2.14 показан коммутатор, который переключает инфор- 
мационные потоки между четырьмя своими интерфейсами. 
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Рис. 2.14. Коммутатор 


Интерфейс коммутатора (называемый также портом) является физическим модулем, со- 
стоящим из приемника и передатчика. В том случае, когда передатчик и приемник работают на 
дуплексный канал связи, они работают независимо друг от друга, обеспечивая одновременную 
передачу данных в обоих направлениях. Иногда приемную часть интерфейса называют входным 
интерфейсом, а выходную часть — выходным интерфейсом. 


Прежде чем выполнить коммутацию, коммутатор должен распознать поток. Для этого в по- 
ступивших данных коммутатор пытается найти признак какого-либо из потоков, заданных 
в его таблице коммутации. Если произошло совпадение, то эти данные направляются на 
интерфейс, определенный для них в маршруте. 


Коммутатором может быть как специализированное устройство, так и универсальный 
компьютер со встроенным программным механизмом коммутации, в этом случае ком- 
мутатор называется программным. Компьютер может совмещать функции коммутации 
данных с выполнением своих обычных функций как конечного узла. Однако во многих 
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случаях более рациональным является решение, в соответствии с которым некоторые узлы 
в сети выделяются специально для коммутации. Эти узлы образуют коммутационную 
сеть, к которой подключаются все остальные. На рис. 2.15 показана коммутационная сеть, 
образованная из узлов 1, 5, би 8, к которой подключаются конечные узлы 2, 3, 4, 7, Эи 10. 


О ТЕРМИНАХ 


Термины «коммутация», «таблица коммутации» и «коммутатор» в телекоммуникационных сетях мо- 
гут трактоваться неоднозначно. Мы уже определили коммутацию как процесс соединения абонентов 
сети через транзитные узлы. Этим же термином мы обозначаем и соединение интерфейсов в преде- 
лах отдельного транзитного узла. Коммутатором в широком смысле называется устройство любого 
типа, способное выполнять операции переключения потока данных с одного интерфейса на другой. 
Операция коммутации может выполняться в соответствии с различными правилами и алгоритмами. 
Некоторые способы коммутации и соответствующие им таблицы и устройства получили специальные 
названия. Например, в технологии ІР для обозначения аналогичных понятий используются термины 
«маршрутизация», «таблица маршрутизации», «маршрутизатор». В то же время за другими специ- 
альными типами коммутации и соответствующими устройствами закрепились те же самые названия 
«коммутация», «таблица коммутации» и «коммутатор», применяемые в узком смысле, например, как 
коммутация и коммутатор в локальной сети Е(ћегпег. Для телефонных сетей, которые появились на- 
много раньше компьютерных, также характерна аналогичная терминология, «коммутатор» является 
здесь синонимом «телефонной станции». 


Рис. 2.15. Коммутационная сеть 


Мультиплексирование и демультиплексирование 


Чтобы определить, на какой интерфейс следует передать поступившие данные, коммутатор 
должен выяснить, к какому потоку они относятся. Эта задача должна решаться независимо 
от того, поступает на вход коммутатора только один «чистый» поток или «смешанный» 
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ПОТОК, ЯВЛЯЮЩИЙСЯ результатом агрегирования нескольких потоков. В последнем случае 
к задаче распознавания потоков добавляется задача демультиплексирования. 


Демультиплексирование — разделение суммарного потока на несколько составляющих его 
потоков. 


Как правило, операцию коммутации сопровождает также обратная операция мультиплек- 
сирования. 


Мультиплексирование (агрегирование) — образование из нескольких отдельных потоков 
общего агрегированного потока, который передается по одному физическому каналу связи. 


Другими словами, мультиплексирование — это способ разделения одного имеющегося 
физического канала между несколькими одновременно протекающими сеансами связи 
абонентов сети. 


Операции мультиплексирования/демультиплексирования имеют такое же важное зна- 
чение в любой сети, как и операции коммутации, потому что без них пришлось бы для 
каждого потока предусматривать отдельный канал, что привело бы к большому количеству 
параллельных связей в сети и свело бы на нет все преимущества неполносвязной сети. 


На рис. 2.16 показан фрагмент сети, состоящий из трех коммутаторов. Коммутатор 1 имеет 
четыре сетевых интерфейса. На интерфейс 1 поступают данные с двух интерфейсов — З и 4. 
Их надо передать в общий физический канал, то есть выполнить операцию мультиплек- 
сирования. 


Мультиплексирование 


Интерфейс 1 “== | Интерфейс 2 


Интерфейс З Интерфейс 4 


Демультиплексирование Физический канал 


Коммутатор 2 Коммутатор З 


Рис. 2.16. Операции мультиплексирования и демультиплексирования потоков при коммутации 


Одним из основных способов мультиплексирования потоков является разделение време- 
ни. При этом способе каждый поток время от времени (с фиксированным или случайным 
периодом) получает физический канал в полное свое распоряжение и передает по нему 
свои данные. Распространено также частотное разделение канала, когда каждый поток 
передает данные в выделенном ему частотном диапазоне. 
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Технология мультиплексирования должна позволять получателю такого суммарного по- 
тока выполнять обратную операцию — разделение (демультиплексирование) данных на 
слагаемые потоки. На интерфейсе 3 коммутатор выполняет демультиплексирование потока 
на три составляющих его подпотока. Один из них он передает на интерфейс 1, другой — на 
интерфейс 2, третий — на интерфейс 4. 


Вообще говоря, на одном интерфейсе могут одновременно выполняться обе функции — 
мультиплексирование и демультиплексирование. 


Частный случай коммутатора, у которого все входящие информационные потоки коммутируются 
на один выходной интерфейс, где они мультиплексируются в один агрегированный поток, на- 
зывается мультиплексором. Коммутатор, который имеет один входной интерфейс и несколько 
выходных, называется демультиплексором (рис. 2.17). 


Мультиплексор Демультиплексор 


Рис. 2.17. Мультиплексор и демультиплексор 


Разделяемая среда передачи данных 


Во всех рассмотренных примерах мультиплексирования потоков к каждой линии связи 
подключались только два интерфейса. В том случае, когда линия связи является дуплекс- 
ным каналом связи, как это показано на рис. 2.18, каждый из интерфейсов монопольно 
использует канал связи в направлении «от себя». Это объясняется тем, что дуплексный 
канал состоит из двух независимых сред передачи данных (подканалов), и так как только 
передатчик интерфейса является активным устройством, а приемник пассивно ожидает 
поступления сигналов от приемника, то и конкуренции подканалов не возникает. Такой 
режим использования среды передачи данных является в настоящее время основным 
в компьютерных локальных и глобальных сетях. 


Коммутатор $1 Коммутатор $2 


Передатчик 


Передатчик 


Интерфейс Р1 Интерфейс Р2 


Рис. 2.18. Дуплексный канал — разделяемая среда отсутствует 
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Однако если в глобальных сетях такой режим использовался всегда, то в локальных се- 


тях до середины 90-х годов преобладал другой режим, основанный на разделяемой среде 
передачи данных. 


Разделяемой средой (5Пагед тедит) называется физическая среда передачи данных, к кото- 
рой непосредственно подключено несколько передатчиков узлов сети. Причем в каждый момент 
времени только один из передатчиков какого-либо узла сети получает доступ к разделяемой сре- 
де и использует ее для передачи данных приемнику другого узла, подключенному к этой же среде. 


В наиболее простом случае эффект разделения среды возникает при соединении двух 
интерфейсов с помощью полудуплексного канала связи, то есть такого канала, который 
может передавать данные в любом направлении, но только попеременно (рис. 2.19). В этом 
случае к одной и той же среде передачи данных (например, к коаксиальному кабелю или 
общей радиосредс) подключены два приемника двух независимых узлов сети. 


Коммутатор $1 Коммутатор $2 


Полудуплексный канал 


Передатчик Приемник 
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Рис. 2.19. Полудуплексный канал — разделяемая среда 


При подобном применении среды передачи данных возникает новая задача совместного 
использования среды независимыми передатчиками таким образом, чтобы в каждый от- 
дельный момент времени по среде передавались данные только одного передатчика. Дру- 
гими словами, возникает необходимость в механизме синхронизации доступа интерфейсов 
к разделяемой среде. 


Обобщением разделяемой среды является случай, показанный на рис. 2.20, когда к каналу 
связи подключаются более двух интерфейсов (в приведенным примере — три), при этом 
применяется топология общей шины. 


Существуют различные способы решения задачи организации совместного доступа 
к разделяемым линиям связи. Одни из них подразумевают централизованный подход, 
когда доступом к каналу управляет специальное устройство — арбитр, другие — децен- 
трализованный. Если мы обратимся к организации работы компьютера, то увидим, что 
доступ к системной шине компьютера, которую совместно используют внутренние блоки 
компьютера, управляется централизованно — либо процессором, либо специальным 
арбитром шины. 


В сетях организация совместного доступа к линиям связи имеет свою специфику из-за 
существенно большего времени распространения сигналов по линиям связи. Здесь про- 
цедуры согласования доступа к линии связи могут занимать слишком большой промежуток 
времени и приводить к значительным потерям производительности сети. Именно по этой 
причине механизм разделения среды в глобальных сетях практически не используется. 
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Интерфейс Р1 Интерфейс Р2 


Интерфейс РЗ 


Коммутатор 53 | Передатчик Приемник 


Рис. 2.20. Канал с множественными подключениями — разделяемая среда 


На первый взгляд может показаться, что механизм разделения среды очень похож на ме- 
ханизм мультиплексирования потоков — поскольку и в том и в другом случаях по линии 
связи передается несколько потоков данных. Однако здесь есть принципиальное различие, 
касающееся того, как контролируется (управляется) линия связи. При мультиплексиро- 
вании дуплексная линия связи в каждом направлении находится под полным контролем 
одного коммутатора, который решает, какие потоки разделяют общий канал связи. 


Для локальных сетей разделяемая среда сравнительно долго была основным механизмом 
использования каналов связи, который применялся во всех технологиях локальных се- 
тей — Ефегпек, Токеп Катя, ЕОПТ. При этом в технологиях локальных сетей применялись 
децентрализованные методы доступа к среде, не требующие наличия арбитра в сети. По- 
пулярность техники разделения среды в локальных сетях объяснялась простотой и эконо- 
мичностью аппаратных решений. Например, для создания сети Е{Вегпе на коаксиальном 
кабеле никакого другого сетевого оборудования, кроме сетевых адаптеров компьютеров 
и самого кабеля, не требуется. Наращивание количества компьютеров в локальной сети 
Е фегпе на коаксиальном кабеле также выполняется достаточно просто — путем присо- 
единения нового отрезка кабеля к существующему. 


Сегодня в проводных локальных сетях метод разделения среды практически перестал 
применяться. Основной причиной отказа от разделяемой среды явилась ее низкая и плохо 
предсказуемая производительность, а также плохая масштабируемость!. Низкая произво- 
дительность объясняется тем, что пропускная способность канала связи делится между 
всеми компьютерами сети. Например, если локальная сеть Ефегпе состоит из 100 компью- 
теров, а для их связи используются коаксиальный кабель и сетевые адаптеры, работающие 
на скорости 10 Мбит/с, то в среднем на каждый компьютер приходится только 0,1 Мбит/с 
пропускной способности. Более точно оценить долю пропускной способности, приходя- 


1 Масштабируемостью называют свойство сети допускать наращивание количества узлов и протяжен- 
ность линий связи в очень широких пределах без снижения производительности. 
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щуюся на какой-либо компьютер сети, трудно, так как эта величина зависит от многих 
случайных факторов — например, активности других компьютеров. Наверное, к этому 
моменту читателю уже понятна причина плохой масштабируемости подобной сети — чем 
больше мы добавляем компьютеров, тем меньшая доля пропускной способности достается 
каждому компьютеру сети. 


Описанные недостатки являются следствием самого принципа разделения среды, поэтому 
преодолеть их полностью невозможно. Появление в начале 90-х недорогих коммутаторов 
локальных сетей привело к настоящей революции в этой области, и постепенно коммута- 
торы вытеснили разделяемую среду полностью. 


Сегодня механизм разделения среды используется только в беспроводных локальных 
сетях, где среда — радиоэфир — естественным образом соединяет все конечные узлы, на- 
ходящиеся в зоне распространения сигнала. 


Пример-аналогия 


Рассмотренная выше обобщенная задача коммутации является достаточно абстрактной 
моделью любой сетевой технологии. Поясним эту модель на примере работы традиционной 
почтовой службы. Почта тоже работает с информационными потоками, которые в данном 
случае составляют почтовые отправления. Основным признаком почтового потока является 
адрес получателя. Для упрощения будем рассматривать в качестве адреса только страну, 
например, Индия, Норвегия, Россия, Бразилия и т. д. Дополнительным признаком потока 
может служить особое требование к надежности или скорости доставки. Например, пометка 
«Ауіа» на почтовых отправлениях в Бразилию выделит из общего потока почты в Бразилию 
подпоток, который будет доставляться самолетом. 


Для каждого потока почтовая служба должна определить маршрут, который будет проходить 
через последовательность почтовых отделений, являющихся аналогами коммутаторов. В ре- 
зультате многолетней работы почтовой службы уже определены маршруты для большинства 
адресов назначения. Иногда возникают новые маршруты, связанные с появлением новых воз- 
можностей — политических, транспортных, экономических. После выбора нового маршрута 
нужно оповестить о нем сеть почтовых отделений. Как видно, эти действия очень напоминают 
работу телекоммуникационной сети. Информация о выбранных маршрутах следования почты 
представлена в каждом почтовом отделении в виде таблицы, в которой задано соответствие 
между страной назначения и следующим почтовым отделением. Например, в почтовом отделе- 
нии города Саратова все письма, адресованные в Индию, направляются в почтовое отделение 
Ашхабада, а письма, адресованные в Норвегию, — в почтовое отделение Санкт-Петербурга. 
Такая таблица направлений доставки почты является прямой аналогией таблицы коммутации 
коммуникационной сети. 


Каждое почтовое отделение работает подобно коммутатору. Все поступающие от абонентов 
и других почтовых отделений почтовые отправления сортируются, то есть происходит рас- 
познавание потоков. После этого почтовые отправления, принадлежащие одному «потоку», 
упаковываются в мешок, для которого в соответствии с таблицей направлений определяется 
следующее по маршруту почтовое отделение. 


ГЛАВА З Коммутация каналов 
и пакетов 


Среди множества возможных подходов к решению задачи коммутации абонентов в сетях 
выделяют два основополагающих, к которым относят коммутацию каналов и коммутацию 
пакетов. 


Каждый из этих двух подходов имеет свои достоинства и недостатки. При коммутации 
пакетов, например, учитываются особенности компьютерного трафика, поэтому данный 
способ коммутации является более эффективным для компьютерных сетей по сравнению 
с традиционным методом коммутации каналов, применяющимся в телефонных сетях. 
Коммутация пакетов пытается вытеснить коммутацию каналов из традиционных для нее 
областей, например из телефонии (в форме интернет- или ІР-телефонии), но этот спор 
пока не решен, и скорее всего, две техники коммутации будут сосуществовать еще долгое 
время, дополняя друг друга. 


Коммутация каналов 


Исторически коммутация каналов появилась намного раньше коммутации пакетов и ведет 
свое происхождение от первых телефонных сетей. 


Сети, построенные по принципу коммутации каналов, имеют богатую историю, они 
и сегодня находят широкое применение в мире телекоммуникаций, являясь основой пер- 
вичных сетей, позволяющих создавать высокоскоростные магистральные каналы связи. 
Первые сеансы связи между компьютерами были осуществлены через телефонную сеть, 
то есть также с применением техники коммутации каналов, а пользователи, которые полу- 
чают доступ в Интернет по модему, продолжают обслуживаться этими сетями, так как их 
данные доходят до оборудования провайдера по местной телефонной сети. 


Сеть с коммутацией каналов представляет собой множество коммутаторов и конечных 
узлов — абонентов, соединенных между собой линиями (звеньями) связи. Заметим, что 
в данном контексте термин «линия связи» используется для обозначения соединения двух 
соседних узлов сети. 


В сетях с коммутацией каналов решаются все те частные задачи коммутации, которые были 
сформулированы ранее. Так, в качестве информационных потоков в сетях с коммутацией 
каналов выступают данные, которыми обмениваются пары абонентов. Время существова- 
ния информационного потока ограничивается рамками сеанса связи абонентов. Глобаль- 
ным признаком потока является пара адресов (например, телефонных номеров) абонентов, 
связывающихся между собой через последовательность коммутаторов. 


Для всех возможных потоков заранее определяются маршруты. Маршруты в сетях с ком- 
мутацией каналов задаются либо «вручную» администратором сети, либо находятся авто- 
матически с привлечением специальных программных и аппаратных средств. Маршруты 
фиксируются в таблицах коммутации, в которых признакам потока ставятся в соответствие 
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идентификаторы выходных интерфейсов коммутаторов. На основании этих таблиц проис- 
ходит продвижение и мультиплексирование данных. Однако, как уже было сказано, в сетях 
с коммутацией каналов решение всех этих задач имеет свои особенности. 


Элементарный канал 


Одной из особенностей сетей с коммутацией каналов является использование понятия 
«элементарный канал». 


Элементарный канал — это базовая техническая характеристика сети с коммутацией каналов, 
представляющая собой некоторое фиксированное в пределах данного типа сетей значение 
пропускной способности. Любая линия связи в сети с коммутацией каналов имеет пропускную 
способность, кратную элементарному каналу, принятому для данного типа сети. 


В предыдущих разделах мы использовали термин «канал» как аналог термина «линия 
связи». Говоря же о сетях с коммутацией каналов, мы придаем термину «канал» значение 
единицы пропускной способности. 


Численное значение элементарного канала, или, другими словами, минимальная единица 
пропускной способности линии связи, выбирается с учетом разных факторов. Очевидно, 
однако, что элементарный канал не стоит выбирать меньше минимально необходимой 
пропускной способности для передачи ожидаемой нагрузки. Например, в современных 
телефонных сетях наиболее распространенным значением элементарного канала является 
скорость 64 Кбит/с — это минимально достаточная скорость для качественной цифровой 
передачи голоса. 


Линии связи в сетях с коммутацией каналов (как, впрочем, и в остальных типах ком- 
пьютерных сетей) имеют разную пропускную способность, одни — большую, другие — 
меньшую. Выбирая линии связи с разными скоростными качествами, специалисты, про- 
ектирующие сеть, стараются учесть разную интенсивность информационных потоков, 
которые могут возникнуть в разных фрагментах сети: чем ближе к центру сети, тем выше 
пропускная способность линии связи, так как магистральные линии агрегируют трафик 
большого количества периферийных линий связи. 


Особенностью сетей с коммутацией каналов является то, что пропускная способность каждой 
линии связи должна быть равна целому числу элементарных каналов. 


Так, линии связи, подключающие абонентов к телефонной сети, могут содержать 2, 24 
или 30 элементарных каналов, а линии связи, соединяющие коммутаторы, — 480 или 
1920 каналов. 


Как следует из определения, элементарный канал представляет собой долю пропускной 
способности линии связи. В разных технологиях разделение пропускной способности 
выполняется по-разному. В одних случаях, как, например, в технологии ОТМ, использу- 
ется разделение по времени и элементарным каналом является пропускная способность, 
соответствующая одному тайм-слоту, в течение которого линия связи предоставляется 
некоторому потоку в исключительное пользование. В других технологиях (например, 
О\/ОМ) элементарные каналы определены как диапазоны частот, которые могут назна- 
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чаться потокам. По-разному выполняется и идентификация элементарных каналов. На 
данном этапе условимся использовать в качестве идентификатора номер канала. 


ОЦИФРОВЫВАНИЕ ГОЛОСА 


Задача оцифровывания голоса является частным случаем более общей проблемы — передачи анало- 
говой информации в дискретной форме. Она была решена в 60-е годы, когда голос начал передаваться 
по телефонным сетям в виде последовательности единиц и нулей. Такое преобразование основано на 
дискретизации непрерывных процессов как по амплитуде, так и по времени (рис. 3.1). 


Амплитуда сигнала 


А5 


А4 


| ны 
АЗ 


А7 |------===== === феер 


фе 


по времени 


Дискретиза ция по амплитуде 


Дискретизация по времени 


Рис. 3.1. Дискретная модуляция непрерывного процесса 


Амплитуда исходной непрерывной функции измеряется с заданным периодом — за счет этого про- 
исходит дискретизация по времени. Затем каждый замер представляется в виде двоичного числа 
определенной разрядности, что означает дискретизацию по значениям — непрерывное множество 
возможных значений амплитуды заменяется дискретным множеством ее значений. 

Для качественной передачи голоса используется частота квантования амплитуды звуковых колебаний 
в 8000 Гц (дискретизация по времени с интервалом 125 мкс). Для представления амплитуды одного 
замера чаще всего используется 8 бит кода, что дает 256 градаций звукового сигнала (дискретиза- 
ция по значениям). В этом случае для передачи одного голосового канала необходима пропускная 
способность 64 Кбит/с: 8000 х 8 = 64 000 бит/с или 64 Кбит/с. Такой голосовой канал называют 
элементарным каналом цифровых телефонных сетей. 


Обратимся к фрагменту сети, изображенному на рис. 3.2. Предположим, что эта сеть харак- 
теризуется элементарным каналом Т бит/с. В сети существуют линии связи разной про- 
пускной способности, состоящие из 2, 3, 4 и 5 элементарных каналов. Для определенности 
предположим, что элементарные каналы являются дуплексными. Элементарные каналы 
идентифицируются номерами. Например, коммутатор 52 имеет в своем распоряжении на 
интерфейсе (порту) Р1 элементарные каналы 1, 2, Зи 4, ана интерфейсе РЗ — элементар- 
ные каналы 1, 2, 3, 4и5. 
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Рис. 3.2. Составной канал в сети с коммутацией каналов 


На рисунке показаны два абонента, А и В, генерирующие во время сеанса связи (телефон- 
ного разговора) информационный поток, для которого в сети был предусмотрен маршрут, 
проходящий через четыре коммутатора — 51, 52, 53 и 54. Предположим также, что интен- 
сивность информационного потока между абонентами не превосходит 27 бит/с. Тогда для 
обмена данными этим двум абонентам достаточно иметь в своем распоряжении по паре 
элементарных каналов, «выделенных» из каждой линии связи, лежащей на маршруте сле- 
дования данных от пункта А к пункту В. На рисунке элементарные каналы, необходимые 
абонентам А и В, обозначены толстыми линиями. 


Составной канал 


Канал, построенный путем коммутации (соединения) выделенных для информационного потока 
элементарных каналов, называют составным каналом. 


В рассматриваемом примере для соединения абонентов А и В был создан составной канал 
«толщиной» в два элементарных канала. Если изменить наше предположение и считать, 
что предложенная нагрузка гарантированно не превысит Т бит/с, то абонентам будет до- 
статочно иметь в своем распоряжении составной канал «толщиной» в один элементарный 
канал. В то же время абоненты, интенсивно обменивающиеся данными, могут предъявить 
и более высокие требования к пропускной способности составного канала. Для этого они 
должны в каждой линии связи зарезервировать за собой большее (но непременно одина- 
ковое для всех линий связи) количество элементарных каналов. 
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Подчеркнем следующие свойства составного канала: 


Ц составной канал на всем своем протяжении состоит из одинакового количества элемен- 
Тарных каналов; 


О составной канал имеет постоянную и фиксированную пропускную способность на всем 
своем протяжении; 


О составной канал создается временно на период сеанса связи двух абонентов или, дру- 
гими словами, только на время существования потока; 


О на время сеанса связи все элементарные каналы, входящие в составной канал, поступа- 
ют в исключительное пользование абонентов, для которых был создан этот составной 
канал; 


О в течение всего сеанса связи абоненты могут посылать в сеть данные со скоростью, не 
превышающей пропускную способность составного канала, 


ОП данные, поступившие в составной канал, гарантированно доставляются вызываемому 
абоненту без задержек, потерь и с той же скоростью (скоростью источника) вне зави- 
симости от того, существуют ли в это время в сети другие соединения или нет; 


Ц после окончания сеанса связи элементарные каналы, входившие в соответствующий 
составной канал, объявляются свободными и возвращаются в пул распределяемых 
ресурсов для использования другими абонентами. 


В сети может одновременно происходить несколько сеансов связи (обычная ситуация для 
телефонной сети, в которой одновременно передаются разговоры сотен и тысяч абонентов). 
Разделение сети между сеансами связи происходит на уровне элементарных каналов. На- 
пример (см. рис. 3.2), мы можем предположить, что после того, как в линии связи 52-53 
было выделено два канала для связи абонентов А и В, оставшиеся три элементарных ка- 
нала были распределены между тремя другими сеансами связи, проходившими в это же 
время и через эту же линию связи. Такое мультиплексирование позволяет одновременно 
передавать через каждый физический канал трафик нескольких логических соединений. 


Мультиплексирование означает, что абоненты вынуждены конкурировать за ресурсы, 
в данном случае за элементарные каналы. Возможны ситуации, когда некоторая про- 
межуточная линия связи уже исчерпала свободные элементарные каналы — тогда новый 
сеанс связи, маршрут которого пролегает через данную линию связи, не может состояться. 


Чтобы распознать такие ситуации, обмен данными в сети с коммутацией каналов предва- 
ряется процедурой установления соединения. В соответствии с этой процедурой абонент, 
являющийся инициатором сеанса связи (например, абонент А в нашей сети), посылает 
в коммутационную сеть запрос, представляющий собой сообщение, содержащее адрес 
вызываемого абонента, например абонента В!. 


Цель запроса — проверить, можно ли образовать составной канал между вызывающим 
и вызываемым абонентами. Для этого требуется соблюдение двух условий: наличие тре- 
буемого числа свободных элементарных каналов в каждой линии связи, лежащей на пути 
от Ак В, и незанятость вызываемого абонента в другом соединении. 


Запрос перемещается по маршруту, заранее определенному для информационного потока 
данной пары абонентов. Этот маршрут зафиксирован в глобальных таблицах коммутации, 
размещенных на всех промежуточных коммутаторах на пути от абонента А к В. 


1 В телефонной сети посылке запроса соответствует набор телефонного номера. 
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Например, коммутатор 54 в нашем примере может иметь следующую глобальную таблицу 
маршрутизации: 


Таблица 3.1. Пример глобальной таблицы маршрутизации 


Интерфейс, ведущий к следующему коммутатору 


Если в результате прохождения запроса выяснилось, что ничто не препятствует установ- 
лению соединения, то происходит фиксация составного канала. Для этого в каждом из 
коммутаторов вдоль пути от А до В создаются записи в локальных таблицах коммутации, 
в которых указывается соответствие между локальными признаками потока — номерами 
элементарных каналов, зарезервированных для этого сеанса связи в данном коммутаторе. 


В нашем примере после прохождения запроса на установление связи от абонента А к або- 
ненту В в каждом из коммутаторов 51, 52, 53 и 54 были созданы соответствующие записи 
в их локальных таблицах коммутации. В коммутаторе 54 локальная таблица выглядит так: 


Таблица 3.2. Пример локальной таблицы маршрутизации 


Входные элементарные каналы Выходные элементарные каналы 


Р2/канал 1 
Р1/канал З Р2/канал 2 


Представленные в примере записи говорят о том, что элементарный канал 2, поступающий 
на интерфейс Р1, скоммутирован с элементарным каналом 1 интерфейса Р2, а элементар- 
ный канал З интерфейса Р1 — с элементарным каналом 2 интерфейса Р2. 


В этом примере номера элементарных каналов имеют уникальные значения в пределах 
каждого интерфейса, поэтому в локальной таблице коммутации элементарные каналы 
идентифицируются парой номер интерфейса/номер канала. Возможна и другая органи- 
зация коммутатора, когда номера элементарных каналов имеют уникальные значения 
в пределах коммутатора, но при добавлении или удалении интерфейса их приходится 
перенумеровывать, что не всегда удобно. 


После того как составной канал считается установленным и в каждом коммутаторе сфор- 
мированы соответствующие записи в локальных таблицах коммутации, абоненты А и В 
могут начать свой сеанс связи. 


Таким образом, продвижение данных в сетях с коммутацией каналов происходит в два 
этапа: 


1. В сеть поступает служебное сообщение — запрос, который несет адрес вызываемого 
абонента и инициирует создание составного канала. 


2. По подготовленному составному каналу передается основной поток данных, для пере- 
дачи которого уже не требуется никакой вспомогательной информации, в том числе 
адреса вызываемого абонента. Коммутация данных в коммутаторах выполняется на ос- 
нове локальных признаков потока — номеров выделенных ему элементарных каналов. 
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Запросы на установление соединения не всегда завершаются успешно. Если на пути между 
вызывающим и вызываемым абонентами отсутствуют свободные элементарные каналы 
или вызываемый узел занят, то происходит отказ в установлении соединения. Например, 
если во время сеанса связи абонентов А и В абонент С пошлет запрос в сеть на установле- 
ние соединения с абонентом 0, то он получит отказ, потому что из двух необходимых ему 
элементарных каналов линии связи 53—54 свободным является только один (рис. 3.3). При 
отказе в установлении соединения сеть информирует вызывающего абонента специальным 
сообщением. Чем больше нагрузка на сеть, то есть чем больше соединений она в данный 
момент поддерживает, тем больше вероятность отказа в удовлетворении запроса на уста- 
новление нового соединения. 
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Рис. 3.3. Отказ в установлении соединения в сети с коммутацией каналов 


Мы описали процедуру установления соединения в автоматическом динамическом 
режиме, основанном на способности абонентов отправлять в сеть служебные сообще- 
ния — запросы на установление соединения, и способности узлов сети обрабатывать такие 
сообщения. Подобный режим используется телефонными сетями: телефонный аппарат 
генерирует запрос, посылая в сеть импульсы (или тоновые сигналы), кодирующие номер 
вызываемого абонента, а сеть либо устанавливает соединение, либо сообщает об отказе 
сигналами «занято». В первых телефонных сетях каждая линия связи абонента с теле- 
фонной станцией представляла собой элементарный канал. Коммутаторы были электро- 
механическими, соединение выполнялось оператором с помощью кабелей, вставляемых 
в разъемы коммутатора, к которым подключались абонентские линии связи. Однако 
это не единственно возможный режим работы сети с коммутацией каналов. Существует 
и статический ручной режим установления соединения, характерный для случаев, когда 
необходимо установить составной канал не на время одного сеанса связи абонентов, а на 
более долгий срок. Создание такого долговременного канала не могут инициировать або- 
ненты — он создается администратором сети. Очевидно, что статический ручной режим 
малопригоден для традиционной телефонной сети с ее короткими сеансами связи, однако 
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он вполне оправдан для создания высокоскоростных телекоммуникационных каналов 
между городами и странами на более-менее постоянной основе. 


Технология коммутации каналов ориентирована на минимизацию случайных событий 
в сети, то есть это технология, стремящаяся к детерминизму. Во избежание всевозможных 
неопределенностей значительная часть работы по организации информационного обмена 
выполняется еще до того, как начнется собственно передача данных. Сначала по задан- 
ному адресу проверяется доступность необходимых элементарных каналов на всем пути 
от отправителя до адресата. Затем эти каналы закрепляются на все время сеанса для ис- 
‘(ключительного использования двумя абонентами и коммутируются в один непрерывный 
«трубопровод» (составной канал), имеющий «шлюзовые задвижки» на стороне каждого из 
абонентов. После этой исчерпывающей подготовительной работы остается сделать самое 
малое: «открыть шлюзы» и позволить информационному потоку свободно и без помех 
«перетекать» между заданными точками сети (рис. 3.4). 


\ А 
Составной — 
канал 


Рис. 3.4. Сеть с коммутацией каналов как система трубопроводов 


Неэффективность передачи 
пульсирующего трафика 


Сети с коммутацией каналов наиболее эффективно передают пользовательский трафик 
в том случае, когда скорость его постоянна в течение всего сеанса связи и максимально 
соответствует фиксированной пропускной способности физических линий связи сети. 
Эффективность работы сети снижается, когда информационные потоки, генерируемые 
абонентами, приобретают пульсирующий характер. 


Так, разговаривая по телефону, люди постоянно меняют темп речи, перемежая быстрые вы- 
сказывания паузами. В результате соответствующие «голосовые» информационные потоки 
становятся неравномерными, а значит, снижается эффективность передачи данных. Правда, 
в случае телефонных разговоров это снижение оказывается вполне приемлемым и позволяет 
широко использовать сети с коммутацией каналов для передачи голосового трафика. 
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Гораздо сильнее снижает эффективность сети с коммутацией каналов передача так назы- 
ваемого компьютерного трафика, то есть трафика, генерируемого приложениями, с кото- 
рыми работает пользователь компьютера. Этот трафик практически всегда является пуль- 
сирующим. Например, когда вы загружаете из Интернета очередную страницу, скорость 
трафика резко возрастает, а после окончания загрузки падает практически до нуля. Если 
для описанного сеанса доступа в Интернет вы задействуете сеть с коммутацией каналов, то 
большую часть времени составной канал между вашим компьютером и веб-сервером будет 
простаивать. В то же время часть пропускной способности сети окажется закрепленной за 
вами и останется недоступной другим пользователям сети. Сеть в такие периоды похожа 
на пустой эскалатор метро, который движется, но полезную работу не выполняет. 


Для эффективной передачи неравномерного компьютерного трафика была специально 
разработана техника коммутации пакетов. 


Коммутация пакетов 


Сети с коммутацией пакетов, так же как и сети с коммутацией каналов, состоят из комму- 
таторов, связанных физическими линиями связи. Однако передача данных в этих сетях 
происходит совершенно по-другому. Образно говоря, по сравнению с сетью с коммута- 
цией каналов сеть с коммутацией пакетов ведет себя менее «ответственно». Например, 
она может принять данные для передачи, не заботясь о резервировании линий связи на 
пути следования этих данных и не гарантируя требуемую пропускную способность. Сеть 
с коммутацией пакетов не создает заранее для своих абонентов отдельных каналов связи, 
выделенных исключительно для них. Данные могут задерживаться и даже теряться по 
пути следования. Как же при таком хаосе и неопределенности сеть с коммутацией пакетов 
выполняет свои функции по передаче данных? 


Важнейшим принципом функционирования сетей с коммутацией пакетов является представление 
информации, передаваемой по сети, в виде структурно отделенных друг от друга порций данных, 
называемых пакетами‘. 


Каждый пакет снабжен заголовком (рис. 3.5), в котором содержится адрес назначения 
и другая вспомогательная информация (длина поля данных, контрольная сумма и др.), 
используемая для доставки пакета адресату. Наличие адреса в каждом пакете является 
одной из важнейших особенностей техники коммутации пакетов, так как каждый пакет 
может быть обработан коммутатором независимо от других пакетов, составляющих сетевой 
трафик?. Помимо заголовка у пакета может иметься еще одно дополнительное поле, раз- 
мещаемое в конце пакета и поэтому называемое концевиком. В концевике обычно поме- 
щается контрольная сумма, которая позволяет проверить, была ли искажена информация 
при передаче через сеть или нет. 


1 Наряду с термином «пакет» используются также термины «кадр», «фрейм», «ячейка» и др. В данном 
контексте различия в значении этих терминов несущественны. 

2 В некоторых технологиях коммутации пакетов (например, в технологии виртуальных каналов) 
полная независимость обработки пакетов не обеспечивается. 
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Рис. 3.5. Разбиение данных на пакеты 


В зависимости от конкретной реализации технологии коммутации пакетов последние 
могут иметь фиксированную или переменную длину. Кроме того, может меняться состав 
информации, размещенной в заголовках пакетов. Например, в технологии АТМ пакеты 
(называемые там ячейками) имеют фиксированную длину, а в технологии Е\фегпей уста- 
новлены лишь минимально и максимально возможные размеры пакетов (кадров). 


Пакеты поступают в сеть в том темпе, в котором их генерирует источник. Предполагается, 
что сеть с коммутацией пакетов, в отличие от сети с коммутацией каналов, всегда готова 
принять пакет от конечного узла. 


Как и в сетях с коммутацией каналов, в сетях с коммутацией пакетов для каждого из по- 
токов вручную или автоматически определяется маршрут, фиксируемый в хранящихся 
на коммутаторах таблицах коммутации. Пакеты, попадая на коммутатор, обрабатываются 
и направляются по тому или иному маршруту на основании информации, содержащейся 
в их заголовках, а также в таблице коммутации (рис. 3.6). 


Пакеты, принадлежащие как одному и тому же, так и разным информационным потокам, 
при перемещении по сети могут «перемешиваться» между собой, образовывать очереди 
и «тормозить» друг друга. На пути пакетов могут встречаться линии связи, имеющие раз- 
ную пропускную способность. В зависимости от времени суток может сильно меняться 
и степень загруженности линий связи. В таких условиях не исключены ситуации, когда 
пакеты, принадлежащие одному и тому же потоку, могут перемещаться по сети с разными 
скоростями и даже прийти к месту назначения не в том порядке, в котором они были от- 
правлены. 


Разделение данных на пакеты позволяет передавать неравномерный компьютерный трафик 
более эффективно, чем в сетях с коммутацией каналов. Это объясняется тем, что пульса- 
ции трафика от отдельных компьютеров носят случайный характер и распределяются во 
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С) конечные узлы О коммутаторы ГЦ пакеты 


данные заголовок 


Рис. 3.6. Передача данных по сети в виде пакетов 


Поток из узла 3 в сторону коммутатора 5 


Поток из узла 4 в сторону коммутатора 5 


Поток из узла 10 в сторону коммутатора 5 


Суммарный поток из коммутатора 5 в сторону коммутатора 8 


Рис. 3.7. Сглаживание трафика в сетях с коммутацией пакетов 


времени так, что их пики чаще всего не совпадают. Поэтому когда линия связи передает 
трафик большого количества конечных узлов, в суммарном потоке пульсации сглаживают- 
ся и пропускная способность линии используется более рационально, без длительных про- 
стоев. Так, на рис. 3.7 показаны неравномерные потоки пакетов, поступающие от конечных 
узлов 3, 4 и 10 всети, изображенной на рис. 3.6. Предположим, что эти потоки передаются 
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в направлении коммутатора 8, а следовательно, накладываются друг на друга при прохож- 
дении линии связи между коммутаторами 5 и 8. Получающийся в результате суммарный 
поток является более равномерным, чем каждый из образующих его отдельных потоков. 


Буферизация пакетов 


Неопределенность и асинхронность перемещения данных в сетях с коммутацией пакетов 
предъявляет особые требования к работе коммутаторов в таких сетях. 


Главное отличие пакетных коммутаторов! от коммутаторов в сетях с коммутацией каналов со- 
стоит в том, что они имеют внутреннюю буферную память для временного хранения пакетов. 


Действительно, пакетный коммутатор не может принять решения о продвижении пакета, 
не имея в своей памяти всего пакета. Коммутатор проверяет контрольную сумму; если 
она говорит о том, что данные пакета не искажены, то коммутатор начинает обрабатывать 
пакет и по адресу назначения определяет следующий коммутатор. Поэтому каждый пакет 
последовательно, бит за битом, помещается во входной буфер. Имея в виду это свойство, 
говорят, что сети с коммутацией пакетов используют технику сохранения с продвижением 
(убоге-ап4д-РЮг\аг4). Заметим, что для этой цели коммутатору было бы достаточно иметь 
буфер размером в один пакет. 


Но коммутатору нужны буферы и для других целей, в частности, для согласования скоро- 
стей передачи данных в линиях связи, подключенных к его интерфейсам. Действительно, 
если скорость поступления потока пакетов из одной линии связи в течение некоторого 
периода превышает пропускную способность той линии связи, в которую эти пакеты долж- 
ны быть направлены, то во избежание потерь пакетов на целевом интерфейсе необходимо 
организовать выходную очередь (рис. 3.8). 


Буферизация необходима пакетному коммутатору и для согласования скорости поступле- 
ния пакетов со скоростью их коммутации. Если коммутирующий блок не успевает обраба- 
тывать пакеты (анализировать заголовки и перебрасывать пакеты на нужный интерфейс), 
то на интерфейсах коммутатора возникают входные очереди. Очевидно, что для хранения 
входной очереди объем буфера должен превышать размер одного пакета. 


Существуют различные подходы к построению коммутирующего блока. Традиционный 
способ основан на одном центральном процессоре, который обслуживает все входные 
очереди коммутатора, что может приводить к большим очередям, так как производитель- 
ность процессора разделяется между несколькими очередями. Современные способы 
построения коммутирующего блока основаны на многопроцессорном подходе, когда 
каждый интерфейс имеет свой встроенный процессор для обработки пакетов. Кроме того, 
существует центральный процессор, координирующий работу интерфейсных процессо- 
ров, использование которых повышает производительность коммутатора и уменьшает 
очереди на входных интерфейсах. Однако такие очереди все равно могут возникать, так 
как центральный процессор по-прежнему остается узким местом. Более подробно вопросы 
внутреннего устройства коммутаторов обсуждаются в главе 11. 


і Иногда мы будем называть коммутаторы сетей с коммутацией пакетов пакетными коммутаторами, 
а сети с коммутацией пакетов — пакетными сетями. 
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Коммутирующий блок 


Входной Выходной Входной Выходной Входной Выходной 
буфер буфер буфер буфер буфер буфер 


.---.-.-.- ыы и --.-.ь.ь* 


фе ---. 6. 
рее. 


Очереди : 
пакетов : 
„ &: 


`_Сетевые 
интерфейсы 


Приемник Г | но арбии саў 


Рис. 3.8. Буферы и очереди пакетов в коммутаторе 


Поскольку объем буферов в коммутаторах ограничен, иногда происходит потеря пакетов 
из-за переполнения буферов при временной перегрузке части сети, когда, например, совпа- 
дают периоды пульсации нескольких информационных потоков. Для компенсации таких 
потерь в технологии коммутации пакетов предусмотрен ряд специальных механизмов, 
которые мы рассмотрим позже. 


Пакетный коммутатор может работать на основании одного из трех методов продвижения 
пакетов. 


О дейтаграммная передача; 
О передача с установлением логического соединения; 


О передача с установлением виртуального канала. 


Дейтаграммная передача 


Дейтаграммный способ передачи данных основан на том, что все передаваемые пакеты 
продвигаются (передаются от одного узла сети другому) независимо друг от друга на основа- 
нии одних и тех же правил. Никакая информация об уже переданных пакетах сетью не хранится 
и в ходе обработки очередного пакета во внимание не принимается. То есть каждый отдельный 
пакет рассматривается сетью как совершенно независимая единица передачи — дейтаграмма. 


Решение о продвижении пакета принимается на основе таблицы коммутации, ставящей 
в соответствие адресам назначения пакетов информацию, однозначно определяющую 
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следующий по маршруту транзитный (или конечный) узел. В качестве такой информации 
могут выступать идентификаторы интерфейсов данного коммутатора или адреса входных 
интерфейсов коммутаторов, следующих по маршруту. 


На рис. 3.9 показана сеть, в которой шесть конечных узлов (№ №) связаны семью ком- 
мутаторами (51-57). Показаны также несколько перемещающихся по разным маршрутам 
пакетов с разными адресами назначения (№1-—№), на пути которых лежит коммутатор 51. 
При поступлении каждого из этих пакетов в коммутатор 51 выполняется просмотр соот- 
ветствующей таблицы коммутации и выбор дальнейшего пути перемещения. Так, пакет 
с адресом № будет передан коммутатором 51 на интерфейс, ведущий к коммутатору 56, 
где в результате подобной процедуры этот пакет будет направлен конечному узлу полу- 
чателя №. 


Таблица коммутации 
коммутатора $1 


Адрес Адрес спедующего 
назначения коммутатора 
Пакет не требуется 
передавать через сеть 


Е: И 


а: 


Рис. 3.9. Иллюстрация дейтаграммного принципа передачи пакетов 


В таблице коммутации для одного и того же адреса назначения может содержаться не- 
сколько записей, указывающих соответственно на различные адреса следующего ком- 
мутатора. Такой подход называется балансом нагрузки и используется для повышения 
производительности и надежности сети. Как видим, на рис. 3.9 пакеты, поступающие в ком- 
мутатор 51 для узла назначения с адресом №2, распределяются между двумя следующими 
коммутаторами — 52 и 53, что снижает нагрузку на каждый из них, а значит, сокращает 
очереди и ускоряет доставку. Некоторая «размытость» путей следования пакетов с одним 
и тем же адресом назначения через сеть является прямым следствием принципа незави- 
симой обработки каждого пакета, присущего дейтаграммному методу. Пакеты, следующие 
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по одному и тому же адресу назначения, могут добираться до него разными путями Также 
вследствие изменения состояния сети, например отказа промежуточных коммутаторов. 


Дейтаграммный метод работает быстро, так как никаких предварительных действий перед 
отправкой данных проводить не требуется. Однако при таком методе трудно проверить 
факт доставки пакета узлу назначения. 


В дейтаграммном методе доставка пакета не гарантируется, а выполняется по мере возмож- 
ности — для описания такого свойства используется термин доставка по возможности (безі 
еНом). 


Передача с установлением 
логического соединения 


Следующий рассматриваемый нами способ продвижения пакетов основывается на знании 
устройствами сети «истории» обмена данными, например, на запоминании узлом-отпра- 
вителем числа отправленных, а узлом-получателем — числа полученных пакетов. Такого 
рода информация фиксируется в рамках логического соединения. 


Процедура согласования двумя конечными узлами сети некоторых параметров процесса обмена 
пакетами называется установлением логического соединения. Параметры, о которых догова- 
риваются два взаимодействующих узла, называются параметрами логического соединения. 


Наличие логического соединения позволяет более рационально по сравнению с дейта- 
граммным способом обрабатывать пакеты. Например, при потере нескольких предыду- 
щих пакетов может быть снижена скорость отправки последующих. Напротив, благодаря 
нумерации пакетов и отслеживанию номеров отправленных и принятых пакетов можно 
повысить надежность путем отбрасывания дубликатов, упорядочивания поступивших 
и повторения передачи потерянных пакетов. 


Параметры соединения могут быть постоянными, то есть не изменяющимися в течение 
всего соединения (например, идентификатор соединения, способ шифрования пакета 
или максимальный размер поля данных пакета), или переменными, то есть динамически 
отражающими текущее состояние соединения (например, последовательные номера пере- 
даваемых пакетов). 


Когда отправитель и получатель фиксируют начало нового соединения, они прежде всего 
«договариваются» о начальных значениях параметров процедуры обмена и только после 
этого начинают передачу собственно данных. 


Передача с установлением логического соединения включает три фазы (рис. 3.10): 


О Установление логического соединения, которое начинается с того, что узел — инициатор 
соединения отправляет узлу-получателю служебный пакет с предложением установить 
соединение. Если узел-получатель согласен с этим, то он посылает в ответ другой слу- 
жебный пакет, подтверждающий установление соединения и предлагающий некоторые 
параметры, которые должны использоваться в рамках данного логического соединения. 
Это могут быть, например, идентификатор соединения, количество пакетов, которые 
можно отправить без получения подтверждения, и т. п. Узел — инициатор соединения 
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Узел 1 Узел 2 


а Данные отправлены 
от узла 1 кузлу 2 
Данные отправлены 
от узла 2 кузлу 1 


Запрос на установление -—— __ | Прием запроса на установ- НХ 
> ление соединения 
соединения | | установления 
——Й| Подтверждение установ- соединения 


Прием подтверждения |“—^ ^^ _ ления соединения 


| 


Передача данных | 
от узла 1 к узлу 2 7—4 Прием данных от узла 1 Фаза 
| _—— Передача подтверждения Передачи 


Прием | 
| данных 
РТА аА приема данных 
Запрос на разрыв ——__ | Прием запроса на разрыв 
соединения | м соединения Фаза 
| Подтверждение разрыва разрыва 
Прием подтверждения 4 соединения соединения 
| 


Рис. 3.10. Передача без установления соединения (а) и с установлением соединения (6) 


может закончить процесс установления соединения отправкой третьего служебного 
пакета, в котором сообщит, что предложенные параметры ему подходят. 


О Передача данных. После того как соединение установлено и все параметры согласо- 
ваны, конечные узлы начинают передачу собственно данных. Логическое соединение 
может быть рассчитано на передачу данных как в одном направлении (от инициатора 
соединения), так и в обоих направлениях. 


О Разрыв логического соединения. После передачи некоторого законченного набора дан- 
ных, например определенного файла, узел-отправитель инициирует процедуру разрыва 
логического соединения, аналогичную процедуре установления соединения. 


Заметим, что, в отличие от передачи дейтаграммного типа, в которой поддерживается 
только один тип пакетов — информационный, передача с установлением соединения 
должна поддерживать как минимум два типа пакетов — информационные пакеты переносят 
собственно пользовательские данные, а служебные предназначаются для установления 
(разрыва) соединения. 


Информационные пакеты обрабатываются коммутаторами точно так же, как и при дейта- 
граммной передаче: из заголовков пакетов извлекаются адреса назначения и сравниваются 
с записями в таблицах коммутации, содержащими информацию о следующих шагах по 
маршруту. Как и дейтаграммы, пакеты, относящиеся к одному логическому соединению, 
в некоторых случаях (например, при отказе линии связи) могут доставляться адресату по 
разным маршрутам. 


Однако передача с установлением соединения имеет важное отличие от дейтаграммной 
передачи, поскольку в ней, помимо обработки пакетов на коммутаторах, имеет место 00- 
полнительная обработка пакетов на конечных узлах. Например, если при установлении со- 
единения была оговорена передача данных в зашифрованном виде, то шифрование пакетов 
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выполняется узлом-отправителем, а дешифрование — узлом-получателем. Аналогично, 
для обеспечения в рамках логического соединения надежности всю работу по нумерации 
пакетов, отслеживанию номеров доставленных и недоставленных пакетов, посылке копий 
и отбрасыванию дубликатов берут на себя конечные узлы. 


Механизм установления логических соединений позволяет реализовывать дифференци- 
рованное обслуживание информационных потоков. Разное обслуживание могут полу- 
чить даже потоки, относящиеся к одной и той же паре конечных узлов. Например, пара 
конечных узлов может установить два параллельно работающих логических соединения, 
в одном из которых передавать данные в зашифрованном виде, а в другом — открытым 
текстом. 


Как видим, передача с установлением соединения предоставляет больше возможностей в плане 
надежности и безопасности обмена данными, чем дейтаграммная передача. Однако этот способ 
более медленный, так как он подразумевает дополнительные вычислительные затраты на уста- 
новление и поддержание логического соединения. 


Передача с установлением виртуального канала 


Следующий способ продвижения Данных в пакетных сетях основан на частном случае 
логического соединения, в число Параметров которого входит жестко определенный ДЛЯ 
всех пакетов маршрут. То есть все пакеты, передаваемые в рамках данного соединения, 
должны проходить строго по одному и тому же закрепленному за этим соединением пути. 


Единственный заранее проложенный фиксированный маршрут, соединяющий конечные узлы 
в сети с коммутацией пакетов, называют виртуальным каналом (уігіиаі сігсиії, или мпиа! сһаппе!). 


Виртуальные каналы прокладываются для устойчивых информационных потоков. С целью 
выделения потока данных из общего трафика каждый пакет этого потока помечается при- 
знаком особого вида — меткой. 


Как и в сетях с установлением логических соединений, прокладка виртуального канала 
начинается с отправки узлом -источником специального пакета — запроса на установление 
соединения. В запросе указываются адрес назначения и метка потока, для которого про- 
кладывается этот виртуальный канал. Запрос, проходя по сети, формирует новую запись 
в таблице каждого из коммутаторов, расположенных на пути от отправителя до получателя. 
Запись говорит о том, каким образом коммутатор должен обслуживать пакет, имеющий 
заданную метку. Образованный виртуальный канал идентифицируется той же меткой!. 


После прокладки виртуального канала сеть может передавать по нему соответствующий 
поток данных. Во всех пакетах, которые переносят пользовательские данные, адрес назна- 
чения уже не указывается, его роль играет метка виртуального канала. При поступлении 
пакета на входной интерфейс коммутатор читает значение метки из заголовка пришедшего 
пакета и просматривает свою таблицу коммутации, по которой определяет, на какой вы- 
ходной порт передать пришедший пакет. 


1 Эта метка в различных технологиях называется по-разному, например, номером логического канала 
(Іорісаі СВаппе| Митфег, СМ) в технологии Х.25 или просто «меткой» в технологии МРТ$. 
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На рис. 3.11 показана сеть, в которой проложено два виртуальных канала, идентифициру- 
емых метками УС1 и УС2. Первый проходит от конечного узла с адресом Мі до конечного 
узла с адресом № через промежуточные коммутаторы 51, 52 и 54. Второй виртуальный 
канал УС2 обеспечивает продвижение данных по пути №1-—51—53-55-—М№3. В общем случае 
между двумя конечными узлами может быть проложено несколько виртуальных каналов, 
например, еще один виртуальный канал между узлами № и № мог бы проходить через про- 
межуточный коммутатор 53. На рисунке показаны два пакета, несущие в своих заголовках 
метки потоков УС1 и УС2, которые играют роли адресов назначения. 


Таблица коммутации 
коммутатора $1 


Адрес Адрес следующего 
назначения коммутатора 


Виртуальный 
канал \С1 


РА 


Виртуальный 
канал МС2 


Рис. 3.11. Иллюстрация принципа работы виртуального канала 


Таблица коммутации в сетях, использующих виртуальные каналы, отличается от таблицы 
коммутации в дейтаграммных сетях. Она содержит записи только о проходящих через 
коммутатор виртуальных каналах, а не обо всех возможных адресах назначения, как это 
имеет место в сетях с дейтаграммным алгоритмом продвижения. Обычно в крупной сети 
количество проложенных через узел виртуальных каналов существенно меньше общего 
количества узлов, поэтому таблицы коммутации в этом случае намного короче и, следова- 
тельно, анализ такой таблицы занимает у коммутатора меньше времени. По той же причине 
метка короче адреса конечного узла, и заголовок пакета в сетях с виртуальными каналами 
переносит по сети вместо длинного адреса компактный идентификатор потока. 


ПРИМЕЧАНИЕ 


Использование в сетях техники виртуальных каналов не делает их сетями с коммутацией каналов. 
Хотя в подобных сетях также применяется процедура предварительного установления канала, этот 
канал является виртуальным, то есть по нему передаются отдельные пакеты, а не потоки информации 
с постоянной скоростью, как в сетях с коммутацией каналов. 
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В одной и той же сетевой технологии могут быть задействованы разные способы про- 
движения данных. Так, для передачи данных между отдельными сетями, составляющими 
Интернет, используется дейтаграммный протокол ІР. В то же время обеспечением на- 
дежной доставки данных между конечными узлами этой сети занимается протокол ТСР, 
устанавливающий логические соединения без фиксации маршрута. И наконец, Интернет — 
это пример сети, применяющей технику виртуальных каналов, так как в состав Интернета 
входит немало сетей МРІ5, поддерживающих виртуальные каналы. 


Сравнение сетей с коммутацией пакетов 
и каналов 


Для сравнения свойств сетей с коммутацией каналов и сетей с коммутацией пакетов фор- 
мируем табл. 3.3. 


Таблица 3.3. Сравнение сетей с коммутацией каналов и пакетов 


Коммутация каналов Коммутация пакетов 

Необходимо предварительно устанавли- | Отсутствует этап установления соединения (дейтаграмм- 
вать соединение ный способ) 

Адрес требуется только на этапе уста- Адрес и другая служебная информация передаются с каж- 
новления соединения дым пакетом 

Сеть может отказать абоненту в установ- | Сеть всегда готова принять данные от абонента 

лении соединения 


Гарантированная пропускная способ- Пропускная способность сети для абонентов неизвестна, 
ность (полоса пропускания) для взаимо- | задержки передачи носят случайный характер 
действующих абонентов 


Трафик реального времени передается Ресурсы сети используются эффективно при передаче 
без задержек пульсирующего трафика 


Высокая надежность передачи Возможны потери данных из-за переполнения буферов 


Нерациональное использование про- Автоматическое динамическое распределение пропускной 
пускной способности каналов, снижаю- | способности физического канала между абонентами 
щее общую эффективность сети 


Прежде чем далее проводить техническое сравнение сетей с коммутацией пакетов и сетей 
с коммутацией каналов, проведем их неформальное сравнение на основе, как представля- 
ется, весьма продуктивной транспортной аналогии. 


Транспортная аналогия для сетей с коммутацией 
пакетов и каналов 


Для начала убедимся, что движение на дорогах имеет много общего с перемещением паке- 
тов в сети с коммутацией пакетов. 


Пусть автомобили в этой аналогии соответствуют пакетам, дороги — каналам связи, а пере- 
крестки — коммутаторам. Подобно пакетам, автомобили перемещаются независимо друг 
от друга, разделяя пропускную способность дорог и создавая препятствия друг другу. 
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Слишком интенсивный трафик, не соответствующий пропускной способности дороги, 
приводит к перегруженности дорог, в результате автомобили стоят в пробках, что соот- 
ветствует очередям пакетов в коммутаторах. 


На перекрестках происходит «коммутация» потоков автомобилей, каждый из автомоби- 
лей выбирает подходящее направление перекрестка, чтобы попасть в пункт назначения. 
Конечно, перекресток играет намного более пассивную роль по сравнению с коммутатором 
пакетов. Его активное участие в обработке трафика можно заметить только на регулируемых 
перекрестках, где очередность пересечения перекрестка потоками автомобилей определяет 
светофор. Еще активнее, естественно, поведение регулировщика трафика, который может 
выбрать для продвижения не только поток автомобилей в целом, но и отдельный автомобиль. 


Как и в сетях с коммутацией пакетов, к образованию заторов на дорогах приводит неравно- 
мерность движения автомобилей. Так, даже кратковременное снижение скорости одного 
автомобиля на узкой дороге может создать большую пробку, которой бы не было, если бы 
все автомобили всегда двигались с одной и той же скоростью и равными интервалами. 


Теперь попробуем найти общее у автомобильного движения и сетей с коммутацией ка- 
налов. 


Иногда на дороге возникает ситуация, когда нужно обеспечить особые условия для движе- 
ния колонны автомобилей. Например, представим, что очень длинная колонна автобусов 
перевозит детей из города в летний лагерь по многополосному шоссе. Чтобы колонна 
двигалась без препятствий, для ее движения заранее разрабатывается маршрут. 


Затем на протяжении всего этого маршрута, который пересекает несколько перекрестков, 
для колонны выделяется отдельная полоса на всех отрезках шоссе. При этом полоса осво- 
бождается от другого трафика уже за некоторое время до начала движения колонны, а от- 
меняется это резервирование только после того, как колонна достигает пункта назначения. 


Во время движения все автомобили колонны едут с одинаковой скоростью и приблизи- 
тельно равными интервалами между собой, не создавая препятствий друг другу. Очевидно, 
что для колонны автомобилей создаются наиболее благоприятные условия движения, но 
при этом автомобили теряют свою самостоятельность, превращаясь в поток, из которого 
нельзя свернуть в сторону. Дорога при такой организации движения используется нера- 
ционально — полоса простаивает значительную часть времени, как и полоса пропускания 
в сетях с коммутацией каналов. 


Структура задержек в сетях с коммутацией 
каналов и пакетов 


Вернемся от автомобилей к сетевому трафику. Пусть пользователю сети необходимо 
передать достаточно неравномерный трафик, состоящий из периодов активности и пауз. 
Представим также, что он может выбрать, через какую сеть (с коммутацией каналов или 
пакетов) передавать свой трафик, причем в обеих сетях производительность каналов 
связи одинакова. Очевидно, что более эффективной с точки зрения временных затрат для 
нашего пользователя была бы работа в сети с коммутацией каналов, где ему в единолич- 
ное пользование предоставляется зарезервированный канал связи. При этом способе все 
данные поступали бы адресату без задержки. Тот факт, что значительную часть времени 
зарезервированный канал будет простаивать (во время пауз), нашего пользователя не 
волнует — ему важно быстро решить собственную задачу. 
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Если бы пользователь обратился к услугам сети с коммутацией пакетов, то процесс пере- 
дачи данных оказался бы более медленным, так как его пакеты, вероятно, не раз задер- 
живались бы в очередях, ожидая освобождения необходимых сетевых ресурсов наравне 
с пакетами других абонентов. 


Давайте рассмотрим подробнее механизм возникновения задержек при передаче данных 
в сетях обоих типов. Пусть от конечного узла №1 отправляется сообщение к конечному 
узлу № (рис. 3.12). На пути передачи данных расположены два коммутатора. 


І. 


Коммутато Коммутато 
Узел М1 ЕР у Р Узел №2 
“у 


рго 


те 


Рис. 3.12. Временная диаграмма передачи сообщения в сети с коммутацией каналов 


В сети с коммутацией каналов данные после задержки, связанной с установлением кана- 
ла, начинают передаваться на стандартной для канала скорости. Время доставки данных 
адресату Г равно сумме времени распространения сигнала в канале Ех, (рге — ргоравайоп) 
и времени передачи сообщения в канал & и; (гп — ёгапѕтіѕѕіоп), называемого также вре- 
менем сериализации. 


Наличие коммутаторов в сети с коммутацией каналов никак не влияет на суммарное время 
прохождения данных через сеть. 


ПРИМЕЧАНИЕ 


Заметим, что время передачи сообщения в канал в точности совпадает со временем приема сообщения 
из канала в буфер узла назначения, то есть временем буферизации. 


Время распространения сигнала зависит от расстояния между абонентами Г и скорости 5 
распространения электромагнитных волн в конкретной физической среде, которая колеб- 
лется от 0,6 до 0,9 скорости света в вакууме: 


ЕТ 6 
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Время сериализации (а значит, и время буферизации в узле назначения) равно отношению 
объема сообщения У в битах к пропускной способности канала С в битах в секунду: 


Виз = И/ С. 


В сети с коммутацией пакетов передача данных не требует обязательного установления 
соединения. Предположим, что в сеть, показанную на рис. 3.13, передается сообщение 
того же объема У, что и в предыдущем случае (см. рис. 3.12), однако оно разделено на 
пакеты, каждый из которых снабжен заголовком. Пакеты передаются от узла М1 узлу №2, 
между которыми расположены два коммутатора. На каждом коммутаторе каждый па- 
кет изображен дважды: в момент прихода на входной интерфейс и в момент передачи 
в сеть с выходного интерфейса. Как видим, коммутатор задерживает пакет на некоторое 
время. Здесь Т — время доставки адресату первого пакета сообщения, а Т,; — всего со- 
общения. 


| ы | 

Коммутатор 1 Коммутатор 2 

Узел №1 > > Узел М2. 
<— <— 


— 
— 


Рис. 3.13. Временная диаграмма передачи сообщения, разделенного на пакеты, 
в сети с коммутацией пакетов 


Сравнивая временные диаграммы передачи данных в сетях с коммутацией каналов и па- 
кетов, отметим два факта: 


О значения времени распространения сигнала (Ё»х.) в одинаковой физической среде на 
одно и то же расстояние одинаковы; 
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О учитывая, что значения пропускной способности каналов в обеих сетях одинаковы, 
значения времени передачи сообщения в канал (Е) будут также равны. 

Однако разбиение передаваемого сообщения на пакеты с последующей их передачей по 

сети с коммутацией пакетов приводит к дополнительным задержкам. Проследим путь 

первого пакета и отметим, из каких составляющих складывается время его передачи в узел 

назначения и какие из них специфичны для сети с коммутацией пакетов (рис. 3.14). 


И 
Коммутатор 1 Коммутатор 2 Узел № 


Узел М1 


Выход 
Интерфейс коммутатора 1 


Рис. 3.14. Временная диаграмма передачи одного пакета в сети с коммутацией пакетов 


Время передачи одного пакета от узла №1 до коммутатора 1 можно представить в виде 
суммы нескольких слагаемых. 


О Во-первых, время тратится в узле-отправителе М1: 


О & – время формирования пакета, также называемое временем пакетизации (зависит 
от различных параметров работы программного и аппаратного обеспечения узла- 
отправителя и не зависит от параметров сети); 


О ё — время передачи в канал заголовка; 
О В — время передачи в канал поля данных пакета. 


Ч Во-вторых, дополнительное время тратится на распространение сигналов по каналам 
связи. Обозначим через &4 время распространения сигнала, представляющего один бит 
информации, от узла №1 до коммутатора 1. 
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О В-третьих, дополнительное время тратится в промежуточном коммутаторе: 


О &; — время приема пакета с его заголовком из канала во входной буфер коммутатора; 
как отмечено, это время равно (& + гз), то есть времени передачи пакета с заголовком 
в канал из узла источника; 


О (5 - время ожидания пакета в очереди, колеблется в очень широких пределах и за- 
ранее не известно, так как зависит от текущей загрузки сети; 


О 15 – время коммутации пакета при его передаче в выходной порт, фиксировано для 
конкретной модели и обычно невелико (от нескольких микросекунд до нескольких 
миллисекунд). 


Обозначим через Тм _ 51 время передачи пакета из узла №М на выходной интерфейс комму- 
татора 1. Это время складывается из следующих составляющих: 


о а 00. 


Обратите внимание, что среди слагаемых отсутствуют составляющие & и В. Из рис. 3.14 
видно, что передача битов из передатчика в канал совмещается по времени с передачей 
битов по каналу связи. 


Время, затрачиваемое на оставшиеся два отрезка пути, обозначим соответственно Т; _ 52 
и Т$2-№. Эти величины имеют такую же структуру, что и Тм! _ $1, за исключением того, что 
в них не входит время пакетизации, и кроме того, Тм не включает время коммутации 
(так как отрезок заканчивается конечным узлом). Итак, полное время передачи одного 
пакета по сети составляет: 


Т = Тм-я + Тя-$ + Тә. 


Чему же будет равно время передачи сообщения, состоящего из нескольких пакетов? Сумме 
времен передачи каждого пакета? Конечно, нет! Ведь сеть с коммутацией пакетов работает 
как конвейер (см. рис. 3.13): пакет обрабатывается в несколько этапов, причем все устройства 
сети выполняют эти этапы параллельно. Поэтому время передачи такого сообщения будет 
значительно меньше, чем сумма значений времени передачи каждого пакета сообщения. Точ- 
но рассчитать это время сложно из-за неопределенности состояния сети и вследствие этого 
неопределенности значений времени ожидания пакетов в очередях коммутаторов. Однако 
если предположить, что пакеты стоят в очереди примерно одинаковое время, то общее время 
передачи сообщения, состоящего из п пакетов, можно оценить следующим образом: 


Тру = Т + (п 1) (и +6). 


Количественное сравнение задержек. Пример 


В качестве иллюстрации решим задачу о сравнении скоростей работы сетей с коммутацией 
каналов и пакетов для частного примера, сделав некоторые предположения о необходимых 
исходных данных. Пусть, например, нам известно следующее: 


О Объем У сообщения, передаваемого в обоих видах сетей, составляет 107 байт. 
Ц Отправитель М1 находится от получателя № на расстоянии Г. = 5000 км. 
О Скорость 5 распространения сигнала составляет 200 000 км/с (2/3 скорости света). 


О Пропускная способность линий связи С составляет 100 Мбит/с. 
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Время передачи данных по сети с коммутацией каналов складывается из времени рас- 
пространения сигнала и времени передачи сообщения в канал. Будем считать, что канал 
постоянный, то есть он уже скоммутирован, так что время установления соединения 
равно нулю. 


Время распространения сигнала для расстояния 5000 км можно оценить примерно в 25 мс 
(5000 км/200 000 км/с = 0,025 с). 


Время передачи сообщения в канал при пропускной способности 100 Мбит/с и размере 
сообщения 10 000 000 байт равно: (107 х 8 бит)/(108 бит/с) = 8 х 10-! = 0,8(с) = 800 мс. 


То есть передача всех данных абоненту № в сети с коммутацией каналов занимает 825 мс. 


Теперь подсчитаем время передачи такого же объема данных — 107 байт — в сети с комму- 
тацией пакетов, считая, что: 


О Пропускная способность линий связи имеет то же значение — 100 Мбит/с. 

О Число промежуточных коммутаторов (51-510) равно десяти. 

О Исходное сообщение разбивается на пакеты по 103 байт с заголовком 40 байт. 
О Интервалы (&) между всеми пакетами одинаковы и равны 100 мкс. 


О Времена коммутации (з) на каждом коммутаторе одинаковы и равны 50 мкс. 


Тм = 100 мкс + 40) + 83 мкс + 50 мкс = 233 мкс + 1401). 


Время Гя_52 передачи первого пакета от коммутатора 51 до коммутатора 52 отличается 
отсутствием составляющей і = 100 мкс (пакет уже сформирован) и значением составля- 
ющей #4, которая зависит от расстояния [2 между коммутаторами 51 и 51. Отразим этот 
факт в обозначении (4(2). 


С учетом сказанного выше имеем Т; _ $ = 133 мкс + #42). 


Аналогично время передачи данных между каждой парой соседних коммутаторов можно 
представить в виде: Т; _ 5+ = 133 мкс + 4+1), где і изменяется от 1 до 10. 


Время Гм передачи первого пакета от коммутатора 510 до конечного узла № отличается 
от времени передачи данных между коммутаторами отсутствием составляющей ѓу = 50 мкс 
(в конечном узле отсутствует операция коммутации) и значением составляющей #4(11), 
которая зависит от расстояния [11 между коммутатором 510 и конечным узлом №2. 


С учетом сказанного выше имеем Тм = 83 мкс + В). 
Теперь найдем суммарное время ТГ; прохождения первого пакета от узла М1 до узла №2. 


Г, = Тм-я + Тя -52 + ... + Тяю-№ = 233 мкс + (133 мкс) х 9 + 83 мкс + У 4409 = 
= 1513 мкс + (У 1; )/5, 


где т изменяется от 1 до 11. Сумма расстояний между всеми соседними узлами и комму- 
таторами равна расстоянию [ между источником и приемником, то есть те же 5000 км, 
что и в сети с коммутацией каналов. Отсюда получаем полное время передачи первого 
пакета: 


Г! - Тм м = 0,001513 с + (5000 км)/(200 000 км/с) = 0,001513 с + 0, 025 с = 0,026513 с. 
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Каждый из следующих пакетов будет прибывать через интервал 100 мкс и занимать еще 
83 мкс на буферизацию. Отсюда время передачи сообщения, состоящего из 10 000 пакетов, 
можно оценить следующим образом: 


Тру = Г, + (10 000 — 1) (+5) = 0,026513 + 9999 х (0,0001 + 0,000083) = 0,026513 + 
+ 9999 х 0,000183 = 0,026513 +1,829817 = 1,85633 с = 1856 мс. 


Таким образом, передача данных при указанных условиях по сети с коммутацией пакетов займет 
1856 мс, что на 1031 мс дольше, чем в сети с коммутацией каналов, в которой эта же передача 
занимает 825 мс. 


Еїһегпеї — пример стандартной технологии 
с коммутацией пакетов 


Рассмотрим, каким образом описанные ранее концепции воплощены в одной из первых 
стандартных сетевых технологий — технологии Е(ћегпеѓ, работающей с битовой скоростью 
10 Мбит/с. В этом разделе мы коснемся только самых общих принципов функционирова- 
ния Есћегпеѓ (детальное описание технологии Ефегпе{ приведено в части ПІ этой книги). 


О Топология. Существует два варианта технологии Ефегпе: Ефегпе на разделяемой среде 
и коммутируемый вариант Е(ћегпеѓ. В первом случае все узлы сети разделяют общую 
среду передачи данных, то есть сеть строится по топологии общей шины. На рис. 3.15 
показан простейший вариант топологии — все компьютеры сети подключены к общей 
разделяемой среде, состоящей из одного сегмента коаксиального кабеля, который 
в данном случае является полудуплексным каналом связи. 


Коаксиальный 
кабель 


Сетевой 
адаптер 


Компьютер 


Рис. 3.15. Сеть Ећегпеї на разделяемой среде 


В том случае, когда сеть Е Вегпе не использует разделяемую среду, а строится на ком- 
мутаторах, объединенных дуплексными каналами связи, говорят о коммутируемом 
варианте Есћегпе. Топология в этом случае является топологией дерева, то есть такой, 
при которой между двумя любыми узлами сети существует ровно один путь. Пример 
топологии коммутируемой сети Есћегпеѓ показан на рис. 3.16. 


Топологические ограничения (только древовидная структура связей коммутаторов) 
связаны со способом построения таблиц продвижения ЕФегпе-коммутаторами. 
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Рис. 3.16. Древовидная топология коммутируемой сети Еїћегпеї 


О Способ коммутации. В технологии Е{Бегпеё используется дейтаграммная коммутация 
пакетов. Единицы данных, которыми обмениваются компьютеры в сети Еегпе%, 
называются кадрами. Кадр имеет фиксированный формат и наряду с полем данных 
содержит различную служебную информацию. В том случае, когда сеть Есћегпе 
построена на коммутаторах, каждый коммутатор продвигает кадры в соответствии 
с теми принципами коммутации пакетов, которые были описаны ранее. А вот в случае 
односегментной сети Е\егпе на разделяемой среде возникает законный вопрос: где 
же выполняется коммутация? Где хотя бы один коммутатор, который, как мы сказали, 
является главным элементом любой сети с коммутацией пакетов? Или же Ефегпее 
поддерживает особый вид коммутации? Оказывается, «коммутатор» в односегментной 
сети Е Фегпе{ существует, но его не так просто разглядеть, потому что его функции 
распределены по всей сети между сетевыми адаптерами компьютеров и собственно 
разделяемой средой передачи сигналов. Интерфейсами этого виртуального комму- 
татора являются сетевые адаптеры, а функцию коммутационного блока — передачу 
кадров между интерфейсами — выполняет разделяемая среда. Адаптеры берут на себя 
и часть функций коммутационного блока: именно они решают, какой кадр адресован 
их компьютеру, а какой — нет. 


О Адресация. Каждый компьютер, или, точнее, каждый сетевой адаптер, имеет уникаль- 
ный аппаратный адрес (так называемый МАС-адрес, вы уже встречали этот акроним 
в главе 2). Ефегпе(-адрес является плоским числовым адресом. Поддерживаются адреса 
для индивидуальной, широковещательной и групповой рассылки. 


О Разделение среды и мультиплексирование. В сети Еегпеѓ на коммутаторах каждый 
канал является дуплексным каналом связи, вследствие чего проблемы его разделения 
между интерфейсами узлов не возникает. Передатчики Ефегпе-коммутаторов исполь- 
зуют дуплексные каналы связи для мультиплексирования потоков кадров от разных 
конечных узлов. 


В случае Есћегпеѓ на разделяемой среде конечные узлы применяют специальный ме- 
тод доступа с целью синхронизации использования единственного полудуплексного 
канала связи, объединяющего все компьютеры сети. Единого арбитра в сети Ефегпе 
на разделяемой среде нет, вместо этого все узлы прибегают к распределенному случай- 
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ному методу доступа. Информационные потоки, поступающие от конечных узлов сети 
Ефегпее, мультиплексируются в единственном передающем канале в режиме разделе- 
ния времени. То есть кадрам разных потоков поочередно предоставляется канал. Чтобы 
подчеркнуть не всегда очевидную разницу между понятиями мультиплексирования 
и разделения среды, рассмотрим ситуацию, когда из всех компьютеров сети Еїћегпеѓ 
только одному нужно передавать данные, причем данные нескольких приложений. 
В этом случае проблема разделения среды между сетевыми интерфейсами не возникает, 
в то время как задача передачи нескольких информационных потоков по общей линии 
связи (то есть мультиплексирование) остается. 


О Кодирование. Адаптеры в Еегпе{ работают с тактовой частотой 20 МГц, передавая 
в среду прямоугольные импульсы, соответствующие единицам и нулям данных ком- 
пьютера. Когда начинается передача кадра, все его биты передаются в сеть с постоянной 
скоростью 10 Мбит/с (каждый бит передается за два такта). Эта скорость определяет 
пропускную способность линии связи в сети Ефегпее. 


О Надежность. Для повышения надежности передачи данных в Е Вегпее используется 
стандартный прием — подсчет контрольной суммы и передача ее в концевике кадра. 
Если принимающий адаптер путем повторного подсчета контрольной суммы обнару- 
живает ошибку в данных кадра, то такой кадр отбрасывается. Повторная передача кадра 
протоколом Е{Бегпе не выполняется — эта задача должна решаться средствами более 
высокого уровня, например, протоколом ТСР в сетях ТСРУИТР. 


О Очереди. В те периоды времени, когда среда занята передачей кадров других сетевых 
адаптеров, данные приложений (предложенная нагрузка) по-прежнему поступают 
в сетевой адаптер. Так как они не могут быть переданы в это время в сеть, то начинают 
накапливаться во внутреннем буфере Ефегпе-адаптера, образуя очередь. Поэтому 
в сети Есћегпеѓ, как и во всех сетях с коммутацией пакетов, существуют переменные 
задержки доставки кадров. 


ГЛАВА 4 Стандартизация 
и классификация сетей 


Декомпозиция задачи сетевого 
взаимодействия 


Сетевая архитектура — это концептуальная схема функционирования компьютерной 
сети, определяющая принципы работы аппаратных и программных сетевых компонен- 
тов, организацию их связей, протоколы взаимодействия и способы физической передачи 
данных. Архитектура сети отражает декомпозицию общей задачи взаимодействия ком- 
пьютеров на отдельные подзадачи, которые должны решаться отдельными компонентами 
сети — конечными узлами (компьютерами) и промежуточными узлами (коммутаторами 
и маршрутизаторами). 


Многоуровневый подход 


Для решения сложных задач, к которым относится и задача сетевого взаимодействия, 
используется известный универсальный прием — декомпозиция, то есть разбиение одной 
сложной задачи на несколько более простых задач-модулей. Декомпозиция состоит в чет- 
ком определении функций каждого модуля, а также порядка их взаимодействия (то есть 
межмодульных интерфейсов). При таком подходе каждый модуль можно рассматривать 
как «черный ящик», абстрагируясь от его внутренних механизмов и концентрируя вни- 
мание на способе взаимодействия модулей. В результате такого логического упрощения 
задачи появляется возможность независимого тестирования, разработки и модификации 
модулей. Так, любой из показанных на рис. 4.1 модулей может быть переписан заново. 
Пусть, например, это будет модуль А, и если при этом разработчики сохранят без измене- 
ния межмодульные связи (в данном случае — интерфейсы А-ВиА-С), то это не потребует 
никаких изменений в остальных модулях. 


Еще более эффективной концепцией, развивающей идею декомпозиции, является много- 
уровневый подход. После представления исходной задачи в виде множества модулей эти 
модули группируют и упорядочивают по уровням, образующим иерархию. В соответствии 
с принципом иерархии для каждого промежуточного уровня можно указать непосред- 
ственно примыкающие к нему соседние вышележащий и нижележащий уровни (рис. 4.2). 


С одной стороны, группа модулей, составляющих каждый уровень, для решения своих 
задач должна обращаться с запросами только к модулям соседнего нижележащего уров- 
ня. С другой стороны, результаты работы каждого из модулей, отнесенных к некоторому 
уровню, могут быть переданы только модулям соседнего вышележащего уровня. Такая 
иерархическая декомпозиция задачи предполагает четкое определение функций и интер- 
фейсов не только отдельных модулей, но и уровней в целом. 
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Рис. 4.2. Многоуровневый подход — создание иерархии задач 
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Межуровневый интерфейс, называемый также интерфейсом услуг, определяет набор 
функций, которые нижележащий уровень предоставляет вышележащему (рис. 4.3). 


К уровню К+2 


Уровень 
к+1 


Межуровневый 
интерфейс 


Уровень К 


К уровню К- 1 


Рис. 4.3. Концепция многоуровневого взаимодействия 


Такой подход дает возможность проводить разработку, тестирование и модификацию от- 
дельного уровня независимо от других уровней. Иерархическая декомпозиция позволяет, 
двигаясь от более низкого уровня к более высокому, переходить ко все более и более аб- 
страктному, а значит более простому представлению исходной задачи. 


Пример 


Рассмотрим задачу считывания логической записи из файла, расположенного на локальном 
диске. Ее (очень упрощенно) можно представить в виде следующей иерархии частных задач. 


1. Поиск в каталогах по символьному имени файла его характеристик, необходимых для 0д0- 
ступа к данным: информации о физическом расположении файла на диске, размере и др. 


Поскольку функции этого уровня связаны только с просмотром каталогов, представления 
о файловой системе на этом уровне чрезвычайно абстрактны: файловая система имеет вид 
графа, в узлах которого находятся каталоги, а листьями являются файлы. Никакие детали 
физической и логической организации данных на диске данный уровень не интересуют. 


2. Определение считываемой части файла. 


Для решения этой задачи необходимо снизить степень абстракции файловой системы. Функ- 
ции данного уровня оперируют файлом как совокупностью определенным образом связанных 
физических блоков диска. 


3. Считывание данных с диска. 


После определения номера физического блока файловая система обращается к системе вво- 
да-вывода для выполнения операции чтения. На этом уровне уже фигурируют такие детали 
устройства файловой системы, как номера цилиндров, дорожек, секторов. 
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Среди функций, которые может запросить прикладная программа, обращаясь к верхнему 
уровню файловой системы, может быть, например, такая: 


ПРОЧИТАТЬ 22 ЛОГИЧЕСКУЮ ЗАПИСЬ ФАЙЛА ОТВ1/МУ/ЕТЬЕЕ.ТХТ 


Верхний уровень не может выполнить этот запрос «только своими силами»; определив по 
символьному имени ОТВ1 /МУ/ЕТЬЕЕ .ТХТ физический адрес файла, он обращается с запросом 
к нижележащему уровню: 


ПРОЧИТАТЬ 22 ЛОГИЧЕСКУЮ ЗАПИСЬ ИЗ ФАЙЛА, 
ИМЕЮЩЕГО ФИЗИЧЕСКИЙ АДРЕС 174 И РАЗМЕР 235 


В ответ на запрос второй уровень определяет, что файл с адресом 174 занимает на диске 
пять несмежных областей, а искомая запись находится в четвертой области в физическом 
блоке 345. После этого он обращается к драйверу с запросом о чтении требуемой логической 
записи. 


В соответствии с этой упрощенной схемой взаимодействие уровней файловой системы явля- 
ется однонаправленным — сверху вниз. Однако реальная картина существенно сложнее. Дей- 
ствительно, чтобы определить характеристики файла, верхний уровень должен «раскрутить» 
его символьное имя, то есть последовательно прочитать всю цепочку каталогов, указанную 
в имени файла. А это значит, что для решения своей задачи он несколько раз обратится к ни- 
жележащему уровню, который, в свою очередь, несколько раз «попросит» драйвер считать 
данные каталогов с диска. И каждый раз результаты будут передаваться снизу вверх. 


Задача организации взаимодействия компьютеров в сети тоже может быть представлена 
в виде иерархически организованного множества модулей. Например, модулям нижнего 
уровня можно поручить вопросы, связанные с надежной передачей информации между 
двумя соседними узлами, а модулям следующего, более высокого уровня — транспорти- 
ровку сообщений в пределах всей сети. Очевидно, что последняя задача — организация 
связи двух любых, не обязательно соседних, узлов — является более общей и поэтому ее 
решение может быть достигнуто путем многократных обращений к нижележащему уров- 
ню. Так, организация взаимодействия узлов А и В может быть сведена к поочередному 
взаимодействию пар промежуточных смежных узлов (рис. 4.4). 


А В 


Рис. 4.4. Взаимодействие произвольной пары узлов 


Протокол и стек протоколов 


Многоуровневое представление средств сетевого взаимодействия имеет свою специфику, 
связанную с тем, что в процессе обмена сообщениями участвуют, по меньшей мере, две 
стороны, то есть в данном случае необходимо организовать согласованную работу двух 
иерархий аппаратных и программных средств на разных компьютерах. Оба участника 
сетевого обмена должны принять множество соглашений. Например, они должны со- 
гласовать параметры электрических сигналов, длину сообщений, договориться о методах 
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контроля достоверности и т. п. Другими словами, соглашения должны быть приняты на 
всех уровнях, начиная от самого низкого — уровня передачи битов — и заканчивая самым 
высоким, реализующим обслуживание пользователей сети. 


На рис. 4.5 показана модель взаимодействия двух узлов. С каждой стороны средства взаи- 
модействия представлены четырьмя уровнями. Каждый уровень поддерживает интерфей- 
сы двух типов. Во-первых, это интерфейсы услуг с выше- и нижележащим уровнем «своей» 
иерархии средств. Во-вторых, это одноранговый интерфейс со средствами взаимодействия 
другой стороны, расположенными на том же уровне иерархии. Этот тип интерфейса на- 


зывают протоколом. 
Интерфейс 


Интерфейс 
с приложением с приложением 


Протокол 4А—4В 


Межуровневый 
интерфейс 4А-ЗА 


Межуровневый 
интерфейс 48В-ЗВ 


Протокол ЗА-ЗВ 


БЕ" Протокольные 


Рой сущности 8 


Протокол 2А-2В 


Межуровневый 
интерфейс ЗА-2А 


Межуровневый 
интерфейс ЗВ-2В 


Межуровневый 
интерфейс 28В-—1В 


Межуровневый 
интерфейс 2А-1А 


Протокол 1А-1В 


Узел А Узел В 


Рис. 4.5. Взаимодействие двух узлов 


В сущности, термины «протокол» и «интерфейс» обозначают одно и то же — формали- 
зованное описание процедуры взаимодействия двух объектов, но традиционно в сетях 
за ними закрепили разные области предпочтительного использования: протоколы опре- 
деляют правила взаимодействия модулей одного уровня (одного ранга) в разных узлах, 
а интерфейсы — правила взаимодействия модулей соседних уровней в одном узле. 


Иерархически организованный набор протоколов, достаточный для организации взаимодействия 
узлов в сети, называется стеком протоколов. 
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Протоколы нижних уровней часто реализуются комбинацией программных и аппаратных 
средств, а протоколы верхних уровней, как правило — программными средствами. Про- 
граммный модуль, реализующий некоторый протокол, называют протокольной сущно- 
стью, или, для краткости, тоже протоколом. Понятно, что один и тот же протокол может 
быть реализован с разной степенью эффективности. Именно поэтому при сравнении 
протоколов следует учитывать не только логику их работы, но и качество программной 
реализации. Более того, на эффективность взаимодействия устройств в сети влияет ка- 
чество всей совокупности протоколов, составляющих стек, — в частности то, насколько 
рационально распределены функиии между протоколами разных уровней и насколько 
хорошо определены интерфейсы между ними. 


Протокольные сущности одного уровня обмениваются сообщениями в соответствии с опре- 
деленным для них протоколом. Сообщения состоят из заголовка и поля данных (иногда оно 
может отсутствовать). Обмен сообщениями является своеобразным языком общения, с по- 
мощью которого каждая из сторон «объясняет» другой стороне, что необходимо сделать на 
каждом этапе взаимодействия. Работа каждого протокольного модуля состоит в интерпрета- 
ции заголовков поступающих к нему сообщений и выполнении связанных с этим действий. 
Заголовки сообщений разных протоколов имеют разную структуру, что соответствует раз- 
личиям в их функциональности. Понятно, что чем сложнее структура заголовка сообщения, 
тем более сложные функции возложены на соответствующий протокол. 


Модель ОЅІ 


Из того, что протокол является соглашением, принятым двумя взаимодействующими уз- 
лами сети, совсем не следует, что он обязательно является стандартным. Но на практике 
при реализации сетей стремятся использовать стандартные протоколы. Это могут быть 
фирменные, национальные или международные стандарты. 


В начале 80-х годов ряд международных организаций по стандартизации, в частности 
Пцегпайопа]| Ограпіхаііоп Юг Збап4агитайоп, часто называемая Ицегпайопа! Збап4аг$ 
Отраштайоп (150), а также ИцегпаНопа! Теіесоттипісабіопѕ Опіор (ТТО) и некоторые 
другие разработали стандартную модель взаимодействия открытых систем (Ореп Зу$ет 
Пицегсоппесйоп, ОЗГ). Эта модель сыграла значительную роль в развитии компьютерных 
сетей. 


Общая характеристика модели О$1 


К концу 70-х годов в мире уже существовало большое количество фирменных стеков 
коммуникационных протоколов — таких, например, как РЕСпеё, ТСРЛР и ІВМ 5МА. 
Подобное разнообразие средств межсетевого взаимодействия вывело на первый план 
проблему несовместимости устройств, использующих разные протоколы. Одним из путей 
разрешения этой проблемы в то время виделся всеобщий переход на единый, общий для 
всех систем стек протоколов, созданный с учетом недостатков уже существующих стеков. 
Такой академический подход к созданию нового стека начался с разработки модели ОЗТ, 
длившейся с 1977 по 1984 год. Назначение модели ОЗ] состоит в обобщенном представле- 
нии функций средств сетевого взаимодействия, способного служить своего рода универ- 
сальным языком сетевых специалистов. 
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Модель ОЗ! имеет дело со стеком протоколов для сетей с коммутацией пакетов. Модель ОЅІ 
не содержит описаний реализаций конкретного набора протоколов. Она лишь определяет, во- 
первых, уровни взаимодействия, во-вторых, стандартные названия уровней, в-третьих, функции, 
которые должен выполнять каждый уровень. 


В модели ОЗ! средства взаимодействия делятся на семь уровней: 
прикладной (аррИсаЧоп Іауег); 
представления (ргеѕепќабіоп Іауег); 


сеансовый (ѕеѕѕіоп |ауег); 


сетевой (пемогК Іауег); 


9 
о 
0 
О транспортный (ёгапѕрогї Іауег); 
9 
О канальный (4аба По К Іауег); 

О 


физический (рћһуѕіса! Іауег). 


Именно поэтому модель ОЗ] называют также семиуровневой моделью. Каждый уровень 
связан со вполне определенным аспектом взаимодействия сетевых устройств. 


Подчеркнем, что модель ОЗ[ описывает только системные средства взаимодействия, ре- 
ализуемые операционной системой, системными утилитами, системными аппаратными 
средствами. Модель не включает средства взаимодействия приложений конечных поль- 
зователей. Поэтому важно различать уровень взаимодействия приложений и прикладной 
уровень семиуровневой модели. 


Приложения могут реализовывать собственные протоколы взаимодействия, используя для 
этих целей многоуровневую совокупность системных средств. Именно для этого в распоря- 
жение программистов предоставляется прикладной программный интерфейс (Арр|сайоп 
Ргоргат Іпѓегѓасе, АРІ). В соответствии с моделью О$[ приложение может обращаться 
с запросами только к самому верхнему уровню — прикладному, однако на практике мно- 
гие стеки коммуникационных протоколов предоставляют возможность программистам 
напрямую обращаться к сервисам или службам нижележащих уровней. 


Например, некоторые СУБД имеют собственные встроенные средства удаленного доступа 
к файлам. При наличии этих средств приложение, выполняя доступ к удаленным ресурсам, 
не использует системную файловую службу; оно обходит верхние уровни модели ОЗ] 
и обращается непосредственно к ответственным за транспортировку сообщений по сети 
системным средствам, которые располагаются на нижних уровнях модели О]. 


В стандартах 150 для обозначения единиц обмена данными, с которыми имеют дело протоколы 
разных уровней, используется общее название протокольная единица данных (Рго{осо! Ваа 
Оп, РОУ). Для обозначения единиц обмена данными конкретных уровней часто используются 
специальные названия, в частности: сообщение, кадр, пакет, дейтаграмма, сегмент. 


Для иллюстрации логической структуры модели ОЗ! рассмотрим взаимодействие двух 
приложений, А и В, выполняющихся на компьютерах 1 и 2 соответственно (рис. 4.6). Пусть, 
например, приложение А собирает данные, на основе которых приложение В генерирует 
отчет. Совместная работа этих двух приложений обеспечивается за счет обмена сообще- 
ниями согласно протоколу, разработанному для них прикладными программистами. Прото- 
кольные сообщения отражают логику работы приложения, они могут быть самыми разно- 
образными, например: «Данные для отчета М готовы», «Несовпадение типа данных» ит. п. 
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Разработчики приложений А и В решили, что протокольные сообщения будут передаваться 
по сети в виде файлов. Пусть, например, приложение А посылает сообщение «Данные для 
отчета М готовы» приложению В. Для этого оно, используя интерфейс АРТ, выполняет за- 
прос к системным средствам прикладного уровня модели ОЗ] (в нашем примере к сетевой 
файловой системе) с просьбой передать файл с этим сообщением на удаленный компьютер 2. 


В ходе выполнения запроса приложения А клиент и сервер файловой системы в соответ- 
ствии со своим протоколом обмениваются собственной последовательностью команд — 
протокольных сообщений. В поле данных одной из таких команд клиента файловой систе- 
мы упаковано сообщение приложения А, а в заголовке (на рис. 4.6 заголовок прикладного 
уровня 7) — служебная информация для сервера файловой системы. Чтобы это сообщение 
прикладного уровня было доставлено по назначению, необходимо решить еще ряд задач, 
ответственность за которые несут нижележащие уровни средств сетевого взаимодействия. 


Следующим уровнем является уровень представления. Протокольный модуль прикладного 
уровня посредством межуровневого интерфейса передает ему свое сообщение, а также за- 
прос на выполнение тех или иных услуг, предоставляемых этим уровнем. Средства уровня 
представления выполняют требуемые действия (например, перекодировку информации) 
и формируют свое сообщение, добавляя к полученному сообщению собственную служеб- 
ную информацию (на рис. 4.6 заголовок уровня представления 6). 


Сформированное уровнем представления сообщение передается вниз по стеку средствам 
сеансового уровня, которые, в свою очередь, после выполнения функций, определенных 
для этого уровня, передают свое сообщение средствам транспортного, сетевого, а затем 
канального уровня. 


Наконец, сообщение достигает средств нижнего, физического уровня, которые, собственно, 
и передают его по линиям связи машине-адресату. К этому моменту сообщение «обрастает» 
заголовками всех уровней!. 


Средства физического уровня помещают сообщение на физический выходной интерфейс 
компьютера 1, и оно начинает свое «путешествие» по сети (до этого момента сообщение 
передавалось от одного уровня к другому в пределах компьютера 1). 


Когда сообщение по сети поступает на входной интерфейс компьютера 2, оно принимает- 
ся его физическим уровнем и последовательно перемещается вверх с уровня на уровень. 
Средства каждого уровня анализируют и обрабатывают заголовок своего уровня, выполняя 
соответствующие функции, а затем удаляют этот заголовок и передают сообщение выше- 
лежащему уровню до тех пор, пока оно не поступит на вход приложения В. Приложение В 
соответствующим образом интерпретирует сообщение «Данные для отчета М готовы», 
например, подготавливает буфер для приема данных. 


Как видно из описания, протокольные сущности одного уровня не общаются между собой непо- 
средственно, в этом общении всегда участвуют посредники — средства протоколов нижележащих 
уровней. И только физические уровни различных узлов взаимодействуют непосредственно. 


Протоколы нижних четырех уровней обобщенно называют сетевым транспортом, или 
транспортной подсистемой, так как они полностью решают задачу транспортировки 


1 Некоторые реализации протоколов помещают служебную информацию не только в начале сообще- 
ния в виде заголовка, но и в конце (в виде так называемого концевика). 
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Компьютер 1 Компьютер 2 


Приложение А Приложение В 


АР! Сообщение Сообщение АР! 
Прикладной 
уровень Протоколы Интерфейсы 
[7 ВВ 
Уровень 
представления 


Сеансовый 
уровень 


Транспортный 
уровень 


Сетевой 
уровень 


Канальный 
уровень 


Физический 
уровень 


в 71615] 4|3|2| 1] 
Сообщение 


1716151431211 | Передача по сети | 


Полезная Заголовки со служебной 
информация информацией 


Рис. 4.6. Модель взаимодействия открытых систем 150/05] 


сообщений с заданным уровнем качества в составных сетях с произвольной топологией 
и различными технологиями. Оставшиеся три верхних уровня объединяет то, что они тес- 
но связаны с пользовательскими приложениями, предоставляя им высокоуровневые услуги 
по использованию сетевых ресурсов и сервисов. Далее мы рассмотрим функции всех семи 
уровней, начиная с самого нижнего, физического уровня. 


Физический уровень 


Физический уровень модели О$І имеет дело с передачей потока битов по физическим 
каналам связи, таким как коаксиальный кабель, витая пара, оптоволоконный кабель или 
беспроводная линия связи. 
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Функции физического уровня реализуются на всех устройствах, подключенных к сети. 
Со стороны компьютера эти функции выполняются сетевым адаптером, со стороны про- 
межуточных сетевых устройств — коммутаторов, маршрутизаторов, мультиплексоров 
и др. — входными и выходными интерфейсами (портами). Физический уровень не вникает 
в смысл информации, которую он передает. Для него информация, поступающая от вы- 
шележащего канального уровня, представляет собой однородный поток битов, которые 
нужно доставить без искажений, в соответствии с заданной тактовой частотой (интервалом 
между соседними битами) и выбранным способом кодирования. 


Примером стандарта физического уровня может служить спецификация Сівађі Е(ћегпе, 
которая определяет в качестве используемого кабеля неэкранированную витую пару кате- 
гории 5 с волновым сопротивлением 100 Ом, разъемом типа К]-45, максимальной длиной 
физического сегмента не более 100 м, манчестерским кодом для представления данных 
в кабеле, а также некоторые другие характеристики среды и электрических сигналов. 


Канальный уровень 


Канальный уровень, используя возможности, предоставляемые ему нижележащим, физи- 
ческим, уровнем, предлагает вышележащему, сетевому, уровню следующие услуги: 


Ц установление логического соединения между взаимодействующими узлами; 
Ч согласование в рамках соединения скоростей передатчика и приемника информации; 
О обеспечение надежной передачи, обнаружение и коррекцию ошибок. 


В сетях, построенных на основе разделяемой среды, физический уровень выполняет еще 
одну функцию — проверяет доступность разделяемой среды. Эту функцию иногда выделя- 
ют в отдельный подуровень управления доступом к среде (Мейіџт Ассеѕѕ Сопіго!, МАС). 


Протокол канального уровня обычно работает в пределах сети, являющейся одной из ча- 
стей более крупной составной сети, объединенной протоколами сетевого уровня. Адреса, 
с которыми работает протокол канального уровня, используются для доставки кадров 
только в пределах этой сети, а для перемещения пакетов между сетями применяются адреса 
уже следующего, сетевого уровня. 


Протоколы канального уровня реализуются как на конечных узлах (средствами сетевых 
адаптеров и их драйверов), так и на всех промежуточных сетевых устройствах (коммута- 
торах, маршрутизаторах и др.). 


Протокольной единицей данных канального уровня является кадр. В поле данных кадра 
размещается сообщение сетевого уровня, а в заголовке — служебная информация, включа- 
ющая адрес назначения, на основании которого коммутаторы сети будут продвигать пакет. 


Одной из задач канального уровня является обнаружение и коррекция ошибок. Канальный 
уровень может обеспечить надежность передачи, например, путем фиксирования границ 
кадра, помещая специальную последовательность битов в его начало и конец, а затем 
добавляя к кадру контрольную сумму. Контрольная сумма вычисляется по некоторому 
алгоритму как функция от всех байтов кадра. На стороне получателя канальный уровень 
группирует биты, поступающие с физического уровня, в кадры, снова вычисляет контроль- 
ную сумму полученных данных и сравнивает результат с контрольной суммой, переданной 
в кадре. Если они совпадают, то кадр считается правильным. Если же контрольные суммы 
не совпадают, то фиксируется ошибка. 
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В функции канального уровня входит не только обнаружение ошибок, но и их исправле- 
ние за счет повторной передачи поврежденных кадров в рамках логического соединения. 
Однако эта функция не является обязательной и в некоторых реализациях канального 
уровня она отсутствует — например, в Ефегпее. 


Прежде чем переправить кадр физическому уровню для непосредственной передачи дан- 
ных в сеть, подуровень МАС канального уровня должен проверить доступность среды. 
Если разделяемая среда освободилась (когда она не используется, такая проверка про- 
пускается), то кадр передается средствами физического уровня в сеть. 


В локальных сетях канальный уровень поддерживает весьма мощный и законченный набор 
функций по пересылке сообщений между узлами сети. В некоторых случаях протоколы 
канального уровня локальных сетей оказываются самодостаточными транспортными сред- 
ствами и могут допускать работу непосредственно поверх себя протоколов прикладного 
уровня или приложений без привлечения средств сетевого и транспортного уровней. Тем не 
менее для качественной передачи сообщений в сетях с произвольной топологией функций 
канального уровня оказывается недостаточно. 


Сетевой уровень 


Сетевой уровень служит для образования единой транспортной системы, объединяющей 
несколько сетей и называемой составной сетью, или интернетом... 


Технология, позволяющая соединять в единую сеть множество сетей, в общем случае постро- 
енных на основе разных технологий, называется технологией межсетевого взаимодействия 
(іпїегпеђћмогкіпа). 


На рис. 4.7 показано несколько сетей, каждая из которых использует собственную техно- 
логию канального уровня: ЕБегпее, ЕЮОРІ, Токеп Кіпе, АТМ, Егате Кејау. На базе этих 
технологий любая из указанных сетей может связывать между собой любых пользователей, 
но только в пределах своей сети, и не способна обеспечить передачу данных в другую сеть. 
Причина такого положения вещей очевидна и кроется в существенных отличиях одной 
технологии от другой. Даже наиболее близкие технологии АМ — Ефегпее, ЕЮЮ]І, Токеп 
Кіпе — имеющие одну и ту же систему адресации (МАС-адреса), отличаются друг от друга 
форматом используемых кадров и логикой работы протоколов. Еще больше отличий между 
технологиями ГАМ и МАМ. 


Чтобы связать между собой сети, построенные на основе отличающихся технологий, нуж- 
ны дополнительные средства, предоставляемые сетевым уровнем. 


Функции сетевого уровня реализуются: 
О группой протоколов; 


0 специальными устройствами — маршрутизаторами. 


1 Не следует путать интернет (со строчной буквы) с Интернетом (с прописной буквы). Сеть Ин- 
тернет — это самая известная и охватывающая весь мир реализация составной сети на основе 
технологии ТСР/ТР. 
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Рис. 4.7. Иллюстрация необходимости сетевого уровня 


Одной из функций маршрутизатора является физическое соединение сетей. Маршрутиза- 
тор имеет несколько сетевых интерфейсов, подобных интерфейсам компьютера, к каждому 
из которых может быть подключена одна сеть. Таким образом, интерфейсы маршрутиза- 
тора можно считать узлами разных сетей. Маршрутизатор может быть реализован про- 
граммно на базе универсального компьютера (например, типовая конфигурация піх или 
МУЛп4о\5 включает программный модуль маршрутизатора). Однако чаще маршрутизаторы 
реализуются на базе специализированных аппаратных платформ. В состав программного 
обеспечения маршрутизатора входят протокольные модули сетевого уровня. 


Итак, чтобы связать сети, показанные на рис. 4.7, необходимо соединить все эти сети марш- 
рутизаторами и установить протокольные модули сетевого уровня на все конечные узлы 
пользователей, которые хотели бы связываться через составную сеть (рис. 4.8). 


Данные, которые необходимо передать через составную сеть, поступают на сетевой уровень 
от вышележащего транспортного уровня. Эти Данные снабжаются заголовком сетевого 
уровня. Данные вместе с заголовком образуют пакет — Так называется протокольная еди- 
ница данных сетевого уровня. 


Заголовок пакета сетевого уровня наряду с другой служебной информацией несет данные 
об адресе назначения этого пакета. Чтобы протоколы сетевого уровня могли доставлять 
пакеты любому узлу составной сети, эти узлы должны иметь адреса, уникальные в пределах 
всей составной сети. Такие адреса называются сетевыми или глобальными. Каждый узел 
составной сети, который намерен обмениваться данными с другими узлами составной 
сети, наряду с адресом, назначенным ему на канальном уровне, должен иметь сетевой 
адрес. Например, на рис. 4.8 компьютер в сети Ефегпеф, входящей в составную сеть, имеет 
адрес канального уровня МАС1 и адрес сетевого уровня МЕТ-А1; аналогично в сети АТМ 
узел, адресуемый идентификаторами виртуальных каналов 101 и 102, имеет сетевой адрес 
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Таблица 
маршрутизации 


Компьютер А 


Компьютер Б 


Составная сеть 


Рис. 4.8. Пример составной сети 


МЕТ-А2. В пакете в качестве адреса назначения должен быть указан адрес сетевого уровня, 
на основании которого определяется маршрут пакета. 


Определение маршрута является важной задачей сетевого уровня. Маршрут описывается 
последовательностью сетей (или маршрутизаторов), через которые должен пройти пакет, 
чтобы попасть к адресату. Например, на рис. 4.8 штриховой линией показано три маршрута, 
по которым могут быть переданы данные от компьютера А к компьютеру Б. Маршрутизатор 
собирает информацию о топологии связей между сетями и на основе этой информации 
строит таблицы коммутации, которые в данном случае носят специальное название таблиц 
маршрутизации. 


В соответствии с многоуровневым подходом сетевой уровень для решения своей задачи 
обращается к нижележащему канальному уровню. Весь путь через составную сеть раз- 
бивается на участки от одного маршрутизатора до другого, причем каждый участок соот- 
ветствует пути через отдельную сеть. 


Чтобы передать пакет через очередную сеть, сетевой уровень помещает его в поле данных 
кадра соответствующей канальной технологии. В заголовке кадра указывается адрес ка- 
нального уровня интерфейса следующего маршрутизатора. Сеть, используя свою канальную 
технологию, доставляет кадр с инкапсулированным в него пакетом по заданному адресу. 
Маршрутизатор извлекает пакет из прибывшего кадра и после необходимой обработки 
передает пакет для дальнейшей транспортировки в следующую сеть, предварительно 
упаковав его в новый кадр канального уровня в общем случае другой технологии. Таким 
образом, сетевой уровень играет роль координатора, организующего совместную работу 
сетей, построенных на основе разных технологий. 
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Пример-аналогия 


Можно найти аналогию между функционированием сетевого уровня и международной по- 
чтовой службы, такой, например, как ОНТ. или ТМТ (рис. 4.9). Представим, что некоторый 
груз необходимо доставить из города Абра в город Кадабра, причем эти города расположены на 
разных континентах. Для доставки груза международная почта использует услуги различных 
региональных перевозчиков: 


• железную дорогу; 
• морской транспорт; 
• авиатранспорт; 


• автомобильный транспорт. 


Рис. 4.9. Работа международной почтовой службы 


Эти перевозчики могут рассматриваться как аналоги сетей канального уровня, причем каж- 
дая «сеть» здесь построена на основе собственной технологии. Из этих региональных служб 
международная почтовая служба должна организовать единую слаженно работающую сеть. 
Для этого международная почтовая служба должна, во-первых, продумать маршрут переме- 
щения почты, во-вторых, координировать работу в пунктах смены перевозчиков (например, 
выгружать почту из вагонов и размещать ее в транспортных отсеках самолетов). Каждый 
перевозчик при этом ответственен только за перемещение почты по своей части пути и не 
несет никакой ответственности за состояние почты за его пределами. 


В общем случае функции сетевого уровня шире, чем обеспечение обмена в пределах со- 
ставной сети. Так, сетевой уровень решает задачу создания надежных и гибких барьеров 
на пути нежелательного трафика между сетями. 


В заключение отметим, что на сетевом уровне определяются два вида протоколов. Пер- 
вый вид — маршрутизируемые протоколы — реализует продвижение пакетов через сеть 
Именно эти протоколы обычно имеют в виду, когда говорят о протоколах сетевого уровня. 
Однако часто к сетевому уровню относят и другой вид протоколов, называемых маршру- 
тизирующими протоколами, или протоколами маршрутизации. С помощью этих прото- 
колов маршрутизаторы собирают информацию о топологии межсетевых соединений, на 
основании которой осуществляется выбор маршрута продвижения пакетов. 
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Транспортный уровень 


На пути от отправителя к получателю пакеты могут быть искажены или утеряны. Хотя не- 
которые приложения имеют собственные средства обработки ошибок, существуют и такие, 
которые предпочитают сразу иметь дело с надежным соединением. 


Транспортный уровень обеспечивает приложениям и верхним уровням стека — приклад- 
ному, представления и сеансовому — передачу данных с той степенью надежности, которая 
им требуется. Модель ОЗГ определяет пять классов транспортного сервиса от низшего 
класса 0 до высшего класса 4. Эти виды сервиса отличаются качеством предоставляемых 
услуг: срочностью, возможностью восстановления прерванной связи, наличием средств 
мульгиплексирования нескольких соединений между различными прикладными прото- 
колами через общий транспортный протокол, а главное — способностью к обнаружению 
и исправлению ошибок передачи, таких как искажение, потеря и дублирование пакетов. 


Выбор класса сервиса транспортного уровня определяется, с одной стороны, тем, в какой 
степени задача обеспечения надежности решается самими приложениями и протоколами 
более высоких, чем транспортный, уровней. С другой стороны, этот выбор зависит от того, 
насколько надежной является система транспортировки данных в сети, обеспечиваемая 
уровнями, расположенными ниже транспортного: сетевым, канальным и физическим. Так, 
если качество каналов передачи очень высокое и вероятность возникновения ошибок. не 
обнаруженных протоколами более низких уровней, невелика, то разумно воспользоваться 
одним из облегченных сервисов транспортного уровня, не обремененных многочислен- 
ными проверками, квитированием и другими приемами повышения надежности. Если же 
транспортные средства нижних уровней очень ненадежны, то целесообразно обратиться 
к наиболее развитому сервису транспортного уровня, который работает, используя макси- 
мум средств для обнаружения и устранения ошибок, включая предварительное установ- 
ление логического соединения, контроль доставки сообщений по контрольным суммам 
и циклической нумерации пакетов, установление тайм-аутов доставки и т. п. 


Все протоколы, начиная с транспортного уровня и выше, реализуются программными сред- 
ствами конечных узлов сети — компонентами их сетевых операционных систем. В качестве 
примера транспортных протоколов можно привести протоколы ТСР и ОРЮР стека ТСРЛР 
и протокол 5РХ стека Моуе|. 


Сеансовый уровень 


Сеансовый уровень управляет взаимодействием сторон: фиксирует, какая из сторон яв- 
ляется активной в настоящий момент, и предоставляет средства синхронизации сеанса. 
Эти средства позволяют в ходе длинных передач сохранять информацию о состоянии 
этих передач в виде контрольных точек, чтобы в случае отказа можно было вернуться 
назад к последней контрольной точке, а не начинать все с начала. На практике немногие 
приложения используют сеансовый уровень, который редко реализуется в виде отдельных 
мротоколов. Функции этого уровня часто объединяют с функциями прикладного уровня 
и реализуют в одном протоколе. 


Уровень представления 


Уровень представления, как явствует из его названия, обеспечивает представление пере- 
даваемой по сети информации, не меняя при этом ее содержания. За счет уровня пред- 
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ставления информация, передаваемая прикладным уровнем одной системы, всегда понятна 
прикладному уровню другой системы. С помощью средств данного уровня протоколы 
прикладных уровней могут преодолеть синтаксические различия в представлении данных 
или же различия в кодах символов, например кодов АЗСП и ЕВСОГС. На этом уровне 
могут выполняться шифрование и дешифрование данных, благодаря которым секретность 
обмена данными обеспечивается сразу для всех прикладных служб. Примером такого про- 
токола является протокол $51. (Зесиге ЅосКкеї Гауег), который обеспечивает секретный 
обмен сообщениями для протоколов прикладного уровня стека ТСР/ТР. 


Для повышения эффективности обмена текстами и графическими изображениями уровень 
представления может оказывать услуги по сжатию/распаковке информации. 


К функциям уровня представления относится также кодирование графических изображений, 
аудио и видео в соответствии с различными стандартами, например ЈРЕС, МРЕС, ТТЕЕ 


Прикладной уровень 


В качестве функций прикладного уровня модель ОЗ[ определяет предоставление раз- 
нообразных услуг пользовательским приложениям — таких, как доступ к общим сетевым 
ресурсам (файлам, принтерам или веб-страницам) или распределенным сетевым сервисам 
(электронной почте, службам передачи сообщений, базам данных). Как правило, услуги 
прикладного уровня включают идентификацию и аутентификацию участников сетевого 
взаимодействия, проверку их доступности и полномочий, определение требований к за- 
щищенности сеанса обмена и т. д. 


Для запросов к прикладному уровню используются системные вызовы операционной 
системы, образующие прикладной программный интерфейс. Операционная система вы- 
полняет процедуры доступа к услугам прикладного уровня прозрачным для приложений 
образом, экранируя их от всех деталей устройства транспортной подсистемы сети, а также 
работы сеансового и представительского уровней. 


Модель ОЗ! и сети с коммутацией каналов 


Как уже было упомянуто, модель ОЗ[ описывает процесс взаимодействия устройств в сети 
с коммутацией пакетов. А как же обстоит дело с сетями коммутации каналов? Существует 
ли для них собственная справочная модель? Можно ли сопоставить функции технологий 
коммутации каналов с уровнями модели О$1? 


Да, для представления структуры средств межсетевого взаимодействия сетей с коммутаци- 
ей каналов также используется многоуровневый подход, в соответствии с которым суще- 
ствуют протоколы нескольких уровней, образующих иерархию. Однако общей справочной 
модели, подобной модели ОЗ1, для сетей с коммутацией каналов не существует. Например, 
различные типы телефонных сетей имеют собственные стеки протоколов, отличающиеся 
количеством уровней и распределением функций между уровнями. Первичные сети, такие 
как ЗОН или О\/ОМ, также обладают собственной иерархией протоколов. Ситуация ус- 
ложняется еще и тем, что практически все типы современных сетей с коммутацией каналов 
задействуют эту технику только для передачи пользовательских данных, а для управления 
процессом установления соединений в сети и общего управления сетью применяют тех- 
нику коммутации пакетов. Такими сетями являются, например, сети 1503, ОН, О\/ОМ. 
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Для сетей с коммутацией пакетов сети с коммутацией каналов предоставляют сервис физическо- 
го уровня, хотя сами они устроены достаточно сложно и поддерживают собственную иерархию 
протоколов. 


Рассмотрим, к примеру, случай, когда несколько локальных пакетных сетей связываются 
между собой через цифровую телефонную сеть. Очевидно, что функции создания состав- 
ной сети выполняют протоколы сетевого уровня, поэтому мы устанавливаем в каждой 
локальной сети маршрутизатор. Маршрутизатор должен быть оснащен интерфейсом, 
способным установить соединение через телефонную сеть с другой локальной сетью. После 
установки соединения в телефонной сети образуется поток битов, передаваемых с посто- 
янной скоростью. Это соединение и предоставляет маршрутизаторам сервис физического 
уровня. Чтобы организовать передачу данных, маршрутизаторы используют поверх этого 
физического канала какой-либо двухточечный протокол канального уровня. 


Стандартизация сетей 


Универсальный тезис о пользе стандартизации, справедливый для всех отраслей, в ком- 
пьютерных сетях приобретает особое значение. Суть сети — это соединение разного обо- 
рудования, а значит, проблема совместимости является здесь одной из наиболее острых. 
Без согласования всеми производителями общепринятых стандартов для оборудования 
и протоколов прогресс в деле «строительства» сетей был бы невозможен. Поэтому все 
развитие компьютерной отрасли, в конечном счете, отражено в стандартах — любая новая 
технология только тогда приобретает «законный» статус, когда ее содержание закрепляется 
в соответствующем стандарте. 


В компьютерных сетях идеологической основой стандартизации является рассмотренная 
выше модель взаимодействия открытых систем (ОГ). 


Понятие открытой системы 


Что же такое открытая система? 


Открытой может быть названа любая система (компьютер, вычислительная сеть, ОС, 
программный пакет, другие аппаратные и программные продукты), которая построена 
в соответствии с открытыми спецификациями. 


Напомним, что под термином «спецификация» в вычислительной технике понимают 
формализованное описание аппаратных или программных компонентов, способов их функ- 
ционирования, взаимодействия с другими компонентами, условий эксплуатации, особых 
характеристик. Понятно, что не всякая спецификация является стандартом. 


Под открытыми спецификациями понимаются опубликованные, общедоступные специфика- 
ции, соответствующие стандартам и принятые в результате достижения согласия после всесто- 
роннего обсуждения всеми заинтересованными сторонами. 


Использование при разработке систем открытых спецификаций позволяет третьим 
сторонам создавать для этих систем различные аппаратные или программные средства 
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расширения и модификации, а также программно-аппаратные комплексы из продуктов 
разных производителей. 


Открытый характер стандартов и спецификаций важен не только для коммуникационных 
протоколов, но и для разнообразных устройств и программ, выпускаемых для построения 
сети. Нужно отметить, что большинство стандартов, принимаемых сегодня, носят откры- 
тый характер. Время закрытых систем, точные спецификации на которые были известны 
только фирме-производителю, ушло. Все осознали, что возможность взаимодействия 
с продуктами конкурентов не снижает, а, наоборот, повышает ценность изделия, так как 
позволяет применять его в большем количестве работающих сетей, собранных из про- 
дуктов разных производителей. Поэтому даже такие фирмы, как ІВМ и МісгоѕоЁ, ранее 
выпускавшие закрытые системы, сегодня активно участвуют в разработке открытых стан- 
дартов и применяют их в своих продуктах. 


Для реальных систем полная открытость является недостижимым идеалом. Как правило, 
даже в системах, называемых открытыми, этому определению соответствуют лишь не- 
которые части, поддерживающие внешние интерфейсы. Например, открытость семейства 
операционных систем Ошх заключается, помимо всего прочего, в наличии стандартизо- 
ванного программного интерфейса между ядром и приложениями, что позволяет легко 
переносить приложения из среды одной версии Отіх в среду другой версии. 


Модель ОЗ] касается только одного аспекта открытости, а именно открытости средств 
взаимодействия устройств, связанных в компьютерную сеть. Здесь под открытой си- 
стемой понимается сетевое устройство, готовое взаимодействовать с другими сетевыми 
устройствами по стандартным правилам, определяющим формат, содержание и значение 
принимаемых и отправляемых сообщений. 


Если две сети построены с соблюдением принципов открытости, то это дает следующие 
преимущества: 


О возможность построения сети из аппаратных и программных средств различных про- 
изводителей, придерживающихся одного и того же стандарта; 


О безболезненная замена отдельных компонентов сети другими, более совершенными, 
что позволяет сети развиваться с минимальными затратами, 


О легкость сопряжения одной сети с другой. 


Источники стандартов 


Закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ определяет понятие 
«стандарт» следующим образом: 


Стандарт — это «документ, в котором в целях добровольного многократного использо- 
вания устанавливаются характеристики продукции, правила осуществления и характе- 
ристики процессов проектирования (включая изыскания), производства, строительства, 
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, вы- 
полнения работ или оказания услуг. Стандарт также может содержать правила и методы 
исследований (испытаний) и измерений, правила отбора образцов, требования к терми- 
нологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения». 


По умолчанию соблюдение стандарта не является обязательным (если явно не указана 
обязательность его исполнения). Однако существует множество причин, по которым 
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большинство компаний, предприятий, частных лиц, организаций добровольно выбирают 
следование стандартам. Мы уже говорили о стандартизации как средстве обеспечения 
совместимости информационных технологий, продуктов и терминологии. Следование 
стандартам позволяет также создавать более качественные, более конкурентоспособные 
технологии, системы и услуги, так как стандарты — это концентрированное выражение 
передовой технической мысли, они аккумулируют актуальные теоретические знания и так 
называемые «лучшие практики». 


В законе РФ о техническом регулировании говорится, что разработчиком стандарта мо- 
жет быть любое лицо, но, как правило, стандарты разрабатываются рабочими группами 
(техническими комитетами), в состав которых на добровольной основе могут включаться 
представители органов исполнительной власти, научных, коммерческих и некоммерческих 
организаций, общественных объединений. Одним из основных принципов стандартизации 
является ориентация на тех лиц, кто в наибольшей степени заинтересован в существовании 
стандартов. Поэтому очень часто разработчиками стандартов являются компании и органи- 
зации, много и успешно работающие в той области, для которой они предлагают стандарты. 


В зависимости от статуса организаций различают следующие виды стандартов: 


О стандарты отдельных фирм, например, стек протоколов ЗМА компании ІВМ или гра- 
фический интерфейс ОРЕМ ТООК для (Опіх-систем компании Ѕип; 


О стандарты специальных комитетов и объединений — создаются несколькими компани- 
ями, например, стандарты технологии АТМ, разрабатываемые специально созданным 
объединением АТМ Еогит, которое насчитывает около 100 коллективных участников, 
или стандарты союза Еаѕї Е(ћегпеѓ АШапсе, касающиеся технологии 100 Мбит Есћегпеѓ; 


О национальные стандарты, например, стандарт ЕОПТ, представляющий один из много- 
численных стандартов института А№І, или стандарты безопасности для операционных 
систем, разработанные центром МС$С Министерства обороны США; 


О международные стандарты, например, модель и стек коммуникационных протоколов 
Международной организации по стандартизации (150), многочисленные стандарты 
Международного союза электросвязи (ГГО), в том числе стандарты на сети с комму- 
тацией пакетов Х.25, сети Егате Кејау, 1$ ОМ, модемы и многие другие. 


В нашей стране главную организационную роль в стандартизации играет Федеральное 
агентство по техническому регулированию и метрологии (Росстандарт). Росстандарт соз- 
дает и координирует рабочие группы по разработке стандартов, организует общественное 
обсуждение и экспертизу новых стандартов, утверждает и публикует документы по стан- 
дартам, ведет учет и распространение национальных стандартов. 


Некоторые стандарты, непрерывно развиваясь, могут переходить из одной категории 
в другую. В частности, фирменные стандарты на продукцию, получившую широкое рас- 
пространение, обычно становятся международными стандартами де-факто, так как вы- 
нуждают производителей из разных стран следовать фирменным стандартам, чтобы обе- 
спечить совместимость своих изделий с этими популярными продуктами. Например, из-за 
феноменального успеха персонального компьютера компании [ВМ фирменный стандарт 
на архитектуру ІВМ РС стал международным стандартом де-факто. 


Более того, ввиду широкого распространения некоторые фирменные стандарты становят- 
ся основой для национальных и международных стандартов де-юре. Например, стандарт 
Е егпе®, первоначально разработанный компаниями ПО12Ка| Едиртепе, Пие| и Хегох, 
через некоторое время и в несколько измененном виде был принят как национальный 
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стандарт ІЕЕЕ 802.3, а затем организация 150 утвердила его в качестве международного 
стандарта 150 8802.3. 


Стандартизация Интернета 


Ярким примером открытой системы является Интернет. Эта международная сеть разви- 
валась в полном соответствии с требованиями, предъявляемыми к открытым системам. 
В разработке ее стандартов принимали участие тысячи специалистов — пользователей 
этой сети из различных университетов, научных организаций и фирм — производителей 
вычислительной аппаратуры и программного обеспечения, работающих в разных странах. 
Само название стандартов, определяющих работу Интернета, — темы для обсуждения 
(Кедџеѕі Еог Соттеп{$, КЕС) — показывает гласный и открытый характер принимаемых 
стандартов. В результате Интернет сумел объединить в себе разнообразное оборудование 
и программное обеспечение огромного числа сетей, разбросанных по всему миру. 


Ввиду постоянной растущей популярности Интернета КЕС-документы становятся между- 
народными стандартами де-факто, многие из которых затем приобретают статус офици- 
альных международных стандартов в результате их утверждения какой-либо организацией 
по стандартизации, как правило, [$ О и ІТО-Т. 


Существует несколько организационных подразделений, отвечающих за развитие и, в част- 
ности, за стандартизацию архитектуры и протоколов Интернета. Основным из них 
является научно-административное сообщество Интернета (Іпѓегпег Ѕосіеѓу, 1$О0С), 
объединяющее около 100 000 человек, которое занимается социальными, политическими 
и техническими проблемами эволюции Интернета. 


Под управлением [$ОС работает совет по архитектуре Интернета (Іпѓегпеѓ Агсһіѓесіиге 
Воага, ІАВ). В ТАВ входят две основные группы: Іпќегпеї Кеѕеагсһћ Таѕк Еотсе (ІКТЕ) 
и Іпегпеѓ Епріпеегіпе Таѕк Еогсе (ТЕТЕ). ІКТЕ координирует долгосрочные исследова- 
тельские проекты по протоколам ТСР/Р. ТЕТЕ — это инженерная группа, которая за- 
нимается решением текущих технических проблем Интернета. Именно ТЕТЕ определяет 
спецификации, которые затем становятся стандартами Интернета. Процесс разработки 
и принятия стандарта для протокола Интернета состоит из ряда обязательных этапов, или 
стадий, включающих непременную экспериментальную проверку. 


В соответствии с принципом открытости Интернета все КЕС-документы, в отличие, ска- 
жем, от стандартов 150, находятся в свободном доступе. Список КЕС-документов можно 
найти, в частности, на сайте мммм.Ис-едКог.ога. 


Стандартные стеки коммуникационных протоколов 


Важнейшим направлением стандартизации в области вычислительных сетей является 
стандартизация коммуникационных протоколов. Наиболее известными стеками прото- 
колов являются: ОЅІ, ТСР/ІР, ІРХ/ЅРХ, МеѓВІОЅ5/5МВ, ОЕСпеё, 5МА (отметим, не все 
из них применяются сегодня на практике). 


Стек О$І 


Важно различать модель ОЅІ и стек протоколов ОЅ1. В то время как модель ОЗ] является 
абстрактной концепцией, стек ОЅІ, построенный на основе модели ОЗТ, представляет со- 
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бой набор спецификаций конкретных протоколов, а также многочисленные программные 
реализации этих протоколов. 


В отличие от других стеков протоколов, стек ОЅІ полностью соответствует модели ОЗ], 
включая спецификации протоколов для всех семи уровней взаимодействия, определенных 
в этой модели (рис. 4.10). Это вполне объяснимо — разработчики стека ОЅІ использовали 
модель ОЅІ как прямое руководство к действию. 


| Протокотуровня представления 08 | | Протокотуровня представления 08 | представления О$! 


Свансовый протокол О$! 


Транспортные протоколы О$! (классы 0-4) 


Е — 158 15 — 15 
СОМР, СЕМР 


Еее! Токеп Виз | Токеп Кіпа 
(051-8802.3,  (051-8802.4, | (051-8802.5, 
ІЕЕЕ-802.3) | ІЕЕЕ-802.4) | ІЕЕЕ-802.5) 


РОО! 
(150-9314) 


Рис. 4.10. Стек протоколов ОЅІ 


Протоколы стека ОЅІ отличает сложность и неоднозначность спецификаций. Эти свойства 
стали резульгатом общей политики разработчиков стека, стремившихся учесть в своих 
протоколах все многообразие уже существующих и появляющихся технологий. 


На физическом и канальном уровнях стек ОЅІ поддерживает протоколы Е(ћегпеѓ, ТоКеп 
Кіпр, ЕОПІ, а также протоколы 1С, Х.25 и 15 ОМ, то есть, как и большинство других 
стеков, использует все разработанные вне стека популярные протоколы нижних уровней. 


Сетевой уровень включает сравнительно редко используемые протоколы Соппесйоп- 
опег(еЧ МесуогКк Ргоѓосо! (СОМР) и Соппесиоп[ез$ Меб\могК Рготосо] (СМР). Как следует 
из названий, первый из них ориентирован на соединение (соппесиоп-опегке4), второй — 
нет (соппесііоп[еѕѕ). 


Более популярны протоколы маршрутизации стека ОЅІ: между конечной и промежуточной 
системами (Епа Ѕуѕќет — Іпіегтейіаѓе Ѕуѕѓіет, Е$-15) и между промежуточными система- 
ми (Іпќегтедіасе Ѕуѕсегт — Іпёегтейіаќе Ѕуѕіет, 18-18). 
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Транспортный уровень стека ОЅІ в соответствии с функциями, определенными для него 
в модели ОЗТ, скрывает различия между сетевыми сервисами с установлением соедине- 
ния и без установления соединения, так что пользователи получают требуемое качество 
обслуживания независимо от нижележащего сетевого уровня. Чтобы обеспечить это, 
транспортный уровень требует, чтобы пользователь задал нужное качество обслуживания. 


Службы прикладного уровня обеспечивают передачу файлов, эмуляцию терминала, сервис 
каталогов и почту. Из них наиболее популярными являются сервис каталогов (стандарт 
Х.500), электронная почта (Х.400), протокол виртуального терминала (УТР), протокол 
передачи, доступа и управления файлами (ЕТАМ), протокол пересылки и управления 
работами (] ТМ). 


Стек М№еїВІОЅ$/5МВ 


Стек Ме В1О$/5 МВ является совместной разработкой компаний ІВМ и МісгоѕоЁ 
(рис. 4.11). На физическом и канальном уровнях этого стека также задействованы уже 
получившие распространение протоколы, такие как Еќћегпеѓ, Токеп Кіпр, ЕОП1, а на 
верхних уровнях — специфические протоколы М№еВЕ Ти МВ. 


МВ 


М№еіВІо5 


Е{ћегпеї, Токеп Кіпд, ҒООІ и другие 


Рис. 4.11. Стек М№еїВІО5/5МВ 


Протокол М№МесуогК Ваѕіс Іприс/Опѓриє Ѕуѕѓет (3№еёВІОЅ) появился в 1984 году как сетевое 
расширение стандартных функций базовой системы ввода-вывода (ВІОЅ) ІВМ РС для 
сетевой программы РС М№есуогк фирмы ІВМ. В дальнейшем этот протокол был заменен 
так называемым протоколом расширенного пользовательского интерфейса Ме ВЕЦ1 
(МевВТО$ Ежепае4 Озег ИцеНЧасе). Для совместимости приложений в качестве интерфейса 
к протоколу МъМеєВЕЧІ был сохранен интерфейс МеВТО$. МеВЕТТ разрабатывался как 
эффективный протокол, потребляющий немного ресурсов и предназначенный для сетей, 
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насчитывающих не более 200 рабочих станций. Этот протокол поддерживает много по- 
лезных сетевых функций, которые можно отнести к транспортному и сеансовому уровням 
модели ОЗТ, однако с его помощью невозможна маршрутизация пакетов. Это ограничивает 
применение протокола Ме ВЕТТ локальными сетями, не разделенными на подсети, и де- 
лает невозможным его использование в составных сетях. 


Протокол Ѕегуег Меззаре Воск (ЅМВ) поддерживает функции сеансового уровня, уров- 
ня представления и прикладного уровня. На основе ЗМВ реализуется файловая служба, 
а также службы печати и передачи сообщений между приложениями. 


Стек ТСРЛР 


Стек ТСР/ЛІР был разработан по инициативе Министерства обороны США более 20 лет 
назад для связи экспериментальной сети АКРАпе с другими сетями как набор общих про- 
токолов для разнородной вычислительной среды. Большой вклад в развитие стека ТСР/ТР 
который получил свое название по популярным протоколам ІР и ТСР внес Университет 
Беркли, реализовав протоколы стека в своей версии ОС ОМІХ. Популярность этой опе- 
рационной системы привела к широкому распространению протоколов ТСР, ІР и других 
протоколов стека. Сегодня этот стек используется для связи компьютеров в Интернете, 
а также в огромном числе корпоративных сетей. Мы подробно рассмотрим стек протоколов 
ТСРЛР в части [У этой книги, посвященной одноименным сетям. 


Соответствие популярных стеков протоколов 
модели О$| 


На рис. 4.12 показано, в какой степени популярные стеки протоколов соответствуют реко- 
мендациям модели ОЗ1. Как мы видим, часто это соответствие весьма условно. В большин- 
стве случаев разработчики стеков отдавали предпочтение скорости работы сети в ущерб 
модульности — ни один стек, кроме стека ОЗ, не разбит на семь уровней. Чаще всего 
в стеке явно выделяются 3-4 уровня: уровень сетевых адаптеров, в котором реализуются 
протоколы физического и канального уровней, сетевой уровень, транспортный уровень 
и уровень служб, вбирающий в себя функции сеансового уровня, уровня представления 
и прикладного уровня. 


Структура стеков протоколов часто не соответствует рекомендуемому моделью ОЗ] разби- 
ению на уровни и по другим причинам. Давайте вспомним, чем характеризуется идеальная 
многоуровневая декомпозиция. С одной стороны, необходимо соблюсти принцип иерар- 
хии: каждый вышележащий уровень обращается с запросами только к нижележащему, 
а нижележащий предоставляет свои сервисы только непосредственно соседствующему 
с ним вышележащему. В стеках протоколов это приводит к тому, что РОО вышележаще- 
го уровня всегда инкапсулируется в РОО нижележащего. С другой стороны, идеальная 
многоуровневая декомпозиция предполагает, что все модули, отнесенные к одному уровню, 
ответственны за решение общей для всех них задачи. Однако эти требования часто всту- 
пают в противоречие. Например, основной функцией протоколов сетевого уровня стека 
ТСР/Р (так же, как и сетевого уровня ОЅІ) является передача пакетов через составную 
сеть. Решение этой задачи возлагается на протокол продвижения [Р-пакетов и протоколы 
маршрутизации, в частности, КІР и ОЗРЕ Если считать признаком принадлежности к од- 
ному и тому же уровню общность решаемых задач, то, очевидно, протокол ІР и протоколы 
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Модель О$| ІВМ/Місгоѕой ТСРЛР Мо\уе! Стек ОЅІ 


Прикладной 
5МВ 
Протокол уровня 
Представления представления ОЗ! 


протокол О$| 


Сеансовый Сеансовый 
протокол О$1| 
Ме!В!О$ 
Транспортный Е Транспортный 


802.3 (Е{ћегпеї), 802.5 (Токеп Кіпа), РОО, АТМ, РРР 
РА 7 Коаксиал, экрачированная и неэкранированная витая пара, 
ИСКИ оптоволокно, радиоволны 


Рис. 4.12. Соответствие популярных стеков протоколов модели О$1| 


маршрутизации должны быть отнесены к одному уровню. Но если принять во внимание, 
что сообщения протокола маршрутизации КІР инкапсулируются в дейтаграммы транс- 
портного уровня, а сообщения протокола ОЗРЕ — в ІР-пакеты, то, формально следуя 
принципу иерархической организации стека, ОЗРЕ следовало бы отнести к транспортно- 
му, а КІР — к прикладному уровню. На практике же протоколы маршрутизации обычно 
включают в сетевой уровень. 


Информационные и транспортные услуги 


Услуги компьютерной сети можно разделить на две категории: 
Ш транспортные услуги; 
Ч информационные услуги. 


Транспортные услуги состоят в передаче информации между пользователями сети в не- 
изменном виде. При этом сеть принимает информацию от пользователя на одном из своих 
интерфейсов, передает ее через промежуточные коммутаторы и выдает другому пользова- 
телю через другой интерфейс. При оказании транспортных услуг сеть не вносит никаких 
изменений в передаваемую информацию, передавая ее получателю в том виде, в котором 
она поступила в сеть от отправителя. Примером транспортной услуги глобальных сетей 
является объединение локальных сетей клиентов. 


Информационные услуги состоят в предоставлении пользователю некоторой новой 
информации. Информационная услуга всегда связана с операциями по обработке инфор- 
мации: хранению ее в некотором упорядоченном виде (файловая система, база данных, 
веб-сайт), поиску нужной информации и преобразованию информации. 
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В телекоммуникационных сетях «докомпьютерной» эры всегда преобладали транспортные 
услуги. Основной услугой телефонной сети была передача голосового трафика между 
абонентами, в то время как справочные услуги были дополнительными. С появлением 
компьютеров информационные услуги пережили революцию, так как компьютер и был 
изобретен для автоматической программной обработки информации. В компьютерных 
сетях одинаково важны обе категории услуг. Благодаря этой особенности новое поколение 
телекоммуникационных сетей иногда называют инфокоммуникационными сетями. 


Распределение протоколов по элементам сети 


На рис. 4.13 показаны основные элементы компьютерной сети: конечные узлы — компью- 
теры; промежуточные узлы — коммутаторы и маршрутизаторы. 


Прикладной Прикладной 
уровень уровень 
Уровень Уровень 

представления представления 
Сеансовый Сеансовый 
уровень уровень 
Транспортный Транспортный 
уровень уровень 
Сетевой Сетевой Сетевой 
уровень уровень уровень 
Канальный Канальный Канальный Канальный Канальный 
уровень уровень уровень 


уровень уровень 
Физический Физический Физический Физический Физический Физический Физический 
уровень уровень уровень уровень уровень уровень уровень 


ИИ 


Концентратор Коммутатор Маршрутизатор 


Коммутатор Концентратор 


Рис. 4.13. Соответствие функций различных устройств сети уровням модели О] 


Из рисунка видно, что полный стек протоколов реализован только на конечных узлах, 
а коммуникационным устройствам для продвижения пакетов достаточно функциональ- 
ности нижних трех уровней. Более того, коммуникационное устройство может поддержи- 
вать только протоколы двух нижних уровней или даже одного физического уровня — это 
зависит от типа устройства. 


Именно к таким устройствам, работающим на физическом уровне, относятся, напри- 
мер, сетевые повторители, называемые также концентраторами или хабами. Они по- 
вторяют электрические сигналы, поступающие на одни их интерфейсы, на других своих 
интерфейсах, улучшая характеристики сигналов — мощность и форму, синхронность их 
следования. 


Коммутаторы локальных сетей поддерживают протоколы двух нижних уровней, физиче- 
ского и канального, что дает им возможность работать в пределах стандартных топологий. 
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Маршрутизаторы должны поддерживать протоколы всех трех уровней, так как сетевой 
уровень нужен им для объединения сетей различных технологий, а протоколы нижних 
уровней — для взаимодействия с конкретными сетями, образующими составную сеть, на- 
пример, Еегпеї или Егате Ве]ау. 


Коммутаторы глобальных сетей (например, МРТ.$), работающие на основе технологии 
виртуальных каналов, могут поддерживать как два уровня протоколов, так и три. Протокол 
сетевого уровня нужен им в том случае, если они поддерживают процедуры автоматическо- 
го установления виртуальных каналов. Так как топология глобальных сетей произвольна, 
без сетевого протокола обойтись нельзя. Если же виртуальные соединения устанавлива- 
ются администраторами сети вручную, то коммутатору глобальной сети достаточно под- 
держивать только протоколы физического и канального уровней, чтобы передавать данные 
по уже проложенным виртуальным каналам. 


Компьютеры, на которых работают сетевые приложения, должны поддерживать протоколы 
всех уровней. Протоколы прикладного уровня, пользуясь сервисами протоколов уровня 
представления и сеансового уровня, предоставляют приложениям набор сетевых услуг 
в виде сетевого прикладного программного интерфейса (АРТ). Протокол транспортного 
уровня также работает на всех конечных узлах. При передаче данных через сеть два модуля 
транспортного протокола, работающие на узле-отправителе и узле-получателе, взаимодей- 
ствуют друг с другом для поддержания транспортного сервиса нужного качества. Комму- 
никационные устройства сети переносят сообщения транспортного протокола прозрачным 
образом, не вникая в их содержание. 


Конечные узлы сети (компьютеры и компьютеризованные устройства, например мобиль- 
ные телефоны) всегда предоставляют как информационные, так и транспортные услуги, 
а промежуточные узлы сети — только транспортные. Когда мы говорим, что некоторая сеть 
предоставляет только транспортные услуги, то подразумеваем, что конечные узлы находятся 
за границей сети. Это обычно имеет место в обслуживающих клиентов коммерческих сетях. 


Если же говорят, что сеть предоставляет также информационные услуги, то это значит, что 
компьютеры, предоставляющие эти услуги, включаются в состав сети. Примером является 
типичная ситуация, когда поставщик услуг Интернета поддерживает еще и собственные 
веб-сервера. 


Вспомогательные протоколы 
транспортной системы 


Настало время сказать, что на рис. 4.13 показан упрощенный вариант распределения прото- 
колов между элементами сети. В реальных сетях некоторые из коммуникационных устройств 
поддерживают не только протоколы трех нижних уровней, но и протоколы верхних уровней. 
Так, маршрутизаторы реализуют протоколы маршрутизации, позволяющие автоматически 
строить таблицы маршрутизации, а концентраторы и коммутаторы часто поддерживают 
протоколы ЗММР и цетеф, которые не нужны для выполнения основных функций этих 
устройств, но позволяют конфигурировать их и управлять ими удаленно. Существуют 
также ОМ№5-сервера, которые отображают символьные имена хостов на их [Р-адреса, и без 
этой вспомогательной функции нормальная работа в Интернете практически невозможна. 


Большинство вспомогательных протоколов формально относятся к прикладному уровню 
модели ОЗ], так как в своей работе они обращаются к протоколам нижних уровней, таким 
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как ТСР ОПР или 551. При этом вспомогательные протоколы не переносят пользователь- 
ские данные, то есть они не выполняют непосредственно функций протокола прикладного 
уровня, описанного в модели ОЗ]. 


Очевидно, что при рассмотрении вспомогательных протоколов мы сталкиваемся с ситу- 
ацией, когда деления протоколов на уровни иерархии (то есть деления «по вертикали»), 
присущего модели ОЗТ, оказывается недостаточно. Полезным оказывается деление про- 
токолов на группы «по горизонтали». 


При горизонтальном делении все протоколы (как основные, так и вспомогательные) раз- 
деляют на три слоя (рІапеѕ) (рис. 4.14): 


О пользовательский слой (иѕег рІапе) включает группу основных протоколов, то есть 
протоколов, которые переносят пользовательский трафик; 


О слой управления (сопќгоЇ р|апе) составляют вспомогательные протоколы, необходимые 
для работы основных протоколов сети, например, протоколы маршрутизации, прото- 
колы отображения имен на [Р-адреса; 


О слой менеджмента (тапаретепї р]апе) объединяет вспомогательные протоколы, под- 
держивающие операции менеджмента (управления сетью администратором), такие как 
протокол ЗММР для сбора информации об ошибках, протоколы удаленного конфигу- 
рирования устройств. 


Пользовательский : Слой 
СЛОЙ Слой управления менеджмента 


Прикладной уровень Прикладной уровень Прикладной уровень 


Уровень представления Уровень представления Уровень представления 


Сеансовый уровень Сеансовый уровень Сеансовый уровень 


Транспортный уровень 


Сетевой уровень 


Канальный уровень 


Физический уровень 


Рис. 4.14. Три группы протоколов 


«Горизонтальное» деление протоколов снимает сложности, возникающие при соотнесении 
некоторых протоколов уровням модели ОЅІ. Например, в книгах одних авторов протоколы 
маршрутизации могут находиться на сетевом уровне, в книгах других — на прикладном. 
Это происходит не из-за небрежности авторов, а из-за объективных трудностей классифи- 
кации. Модель ОЅІ хорошо подходит для стандартизации протоколов, которые переносят 
пользовательский трафик, то есть протоколов пользовательского слоя. В то же время она 
в гораздо меньшей степени годится для определения места вспомогательных протоколов 
в общей модели функционирования сети. Поэтому многим авторам приходится помещать 
протоколы маршрутизации на сетевой уровень, чтобы таким образом отразить функцио- 
нальную близость этих протоколов к операции продвижения пакетов. 
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Классификация компьютерных сетей 


Классификация — это процесс группирования, то есть отнесения к тому или иному типу объ- 
ектов изучения в соответствии с их общими признаками. 


Каждый реальный объект может быть наделен множеством признаков. Субъективный 
характер любой классификации проявляется в том, что имеется некоторый произвол при 
выборе среди этого множества признаков тех, которые будут использованы для классифи- 
кации, то есть при выборе критериев классификации. Приведенная далее классификация 
компьютерных сетей не является исключением — в других источниках (да и далее в этой 
книге) вы можете встретить другие признаки, по которым сети относят к тому или иному 
типу. 


Начнем с того, что компьютерные сети — составляющая классификации телекоммуника- 
ционных сетей, которые по виду передаваемого контента делятся на: 

О радиосети; 

Ц телефонные сети; 

Ц телевизионные сети; 

О компьютерные сети. 

В зависимости от территории покрытия компьютерные сети можно разделить на три 
группы: 

О локальные сети (1.оса| Агеа МесуогК, АМ); 

О глобальные сети (Уе Агеа МеѓмогКк, МАМ№); 

О городские сети, или сети мегаполиса (Мегоро|Кап Агеа Меѓмогк, МАМ). 

Мы уже обозначили особенности этих групп сетей, когда рассматривали в главе 1 эволю- 


цию компьютерных сетей. В частности, в локальных сетях качество линий связи между 
узлами обычно выше, чем в глобальных сетях. Это обусловлено различными причинами: 


Ы существенно меньшей длиной линий связи (метры вместо сотен километров), а значит, 
и меньшими искажениями сигналов, вносимых неидеальной передающей средой; 


О меньшим уровнем внешних помех, так как в локальной сети оборудование и кабели 
обычно размещаются в специальных защищенных экранированных помещениях, а ли- 
нии связи глобальной сети могут проходить в сильно электромагнитно «зашумленной» 
среде, например, в туннелях подземных коммуникаций, рядом с силовыми кабелями, 
вдоль линий электропередач и т. п.; 


О экономическими соображениями. 


Высокое качество линий связи и низкий уровень помех позволили упростить процедуры 
передачи данных в технологиях локальных сетей, например, применять простые методы 
кодирования и модулирования сигналов, отказаться от сложных алгоритмов восстанов- 
ления искаженных данных. 


Несмотря на то что процесс сближения технологий локальных и глобальных сетей идет 
уже давно, различия между этими технологиями все еще достаточно отчетливы, что и дает 
основания относить соответствующие сети к различным технологическим типам. 
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Сети МАМ предназначены для обслуживания территории крупного города — мегаполиса 
и сочетают в себе признаки как локальных, так и глобальных сетей. От первых они унасле- 
довали большую плотность подключения конечных абонентов и высокоскоростные линии 
связи, а от последних — большую протяженность линий связи. 


В соответствии с технологическими признаками, обусловленными средой передачи, ком- 
пьютерные сети подразделяют на два класса: 


О проводные сети — сети, каналы связи которых построены с использованием медных 
или оптических кабелей; 


С беспроводные сети — сети, в которых для связи используются беспроводные каналы 
связи, например, радио, СВЧ, инфракрасные или лазерные каналы. 


Любая беспроводная среда — будь то радиоволны, инфракрасные лучи или СВЧ-сигналы 
спутниковой связи — гораздо больше подвержена влиянию внешних помех, чем проводная. 
Роса, туман, солнечные бури, работающие в комнате микроволновые печи — вот только не- 
сколько примеров источников помех, которые могут привести к резкому ухудшению качества 
беспроводного канала. А значит, технологии беспроводных сетей должны учитывать типич- 
ность подобных ситуаций и строиться таким образом, чтобы обеспечивать работоспособность 
сети, несмотря на ухудшение внешних условий. Здесь, как и в случае локальных и глобальных 
сетей, мы сталкиваемся с влиянием качества линий связи на технологию передачи данных. 


Кроме того, существует ряд других специфических особенностей беспроводных сетей, 
которые служат основанием для выделения их в особый класс, например, естественное 
разделение радиосреды всеми узлами сети, находящимися в радиусе действия всенаправ- 
ленного передатчика; распределение диапазона радиочастот между сетями различного 
назначения, например, между телефонными и компьютерными. 


В зависимости от способа коммутации, сети подразделяются на два фундаментально раз- 
личных класса: 


Ц сети с коммутацией пакетов; 
О сети с коммутацией каналов. 


Сейчас в компьютерных сетях используется преимущественно техника коммутации па- 
кетов, хотя принципиально допустимо и применение в них техники коммутации каналов. 


В свою очередь, техника коммутации пакетов допускает несколько вариаций, отличающих- 
ся способом продвижения пакетов, в соответствии с чем сети делятся на: 


О дейтаграммные сети, например ЕФегпее; 


0 сети, основанные на логических соединениях, например, ІР-сети, использующие на 
транспортном уровне протокол ТСР; 


О сети, основанные на виртуальных каналах, например МРІ5-сети. 


Сети могут быть классифицированы на основе топологии. Топологический тип сети весьма 
отчетливо характеризует сеть, он понятен как профессионалам, так и пользователям. Мы 
подробно рассматривали базовые топологии сетей, поэтому здесь только перечислим их: 
полносвязная топология, дерево, звезда, кольцо, смешанная топология. 


В зависимости от того, какому типу пользователей предназначаются услуги сети, послед- 
ние делятся на сети операторов связи, корпоративные и персональные сети. 


О Сети операторов связи предоставляют публичные услуги, то есть клиентом сети 
может стать любой индивидуальный пользователь или любая организация, которая 
заключила соответствующий коммерческий договор на предоставление той или иной 
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телекоммуникационной услуги. Традиционными услугами операторов связи являются 
услуги телефонии, а также предоставления каналов связи в аренду тем организациям, 
которые собираются строить на их основе собственные сети. С распространением ком- 
пьютерных сетей операторы связи существенно расширили спектр своих услуг, добавив 
к ним услуги Интернета, услуги виртуальных частных сетей, веб-хостинг, электронную 
почту и ІР-телефонию, а также широковещательную рассылку аудио- и видеосигналов. 
Сегодня Интернет также является одной из разновидностей сети операторов связи. Ин- 
тернет быстро превратился из сети, обслуживающей сравнительно немногочисленное 
академическое сообщество, во всемирную публичную сеть, предоставляющую набор 
наиболее востребованных услуг для всех. 


О Корпоративные сети предоставляют услуги только сотрудникам предприятия, которое 
владеет этой сетью. Хотя формально корпоративная сеть может иметь любой размер, 
обычно под корпоративной понимают сеть крупного предприятия, которая состоит как 
из локальных сетей, так и из объединяющей их глобальной сети. 


О Персональные сети находятся в личном использовании. Для них характерно небольшое 
количество узлов, простая структура, а также небольшой (в пределах 30 метров) радиус 
действия. Узлами персональной сети наряду с настольными компьютерами могут быть 
телефоны, смартфоны, планшеты, ноутбуки. Чаще всего персональные сети строятся 
на основе беспроводных технологий. 


В зависимости от функииональной роли, которую играют некоторые части сети, ее относят 
к сети доступа, магистральной сети или сети агрегирования трафика (рис. 4.15). Поясним, что: 


Ц Сети доступа — это сети, предоставляющие доступ индивидуальным и корпоративным 
абонентам от их помещений (квартир, офисов) до первого помещения (пункта при- 
сутствия) оператора сети связи или оператора корпоративной сети. Другими словами, 
это сети, ответственные за расширение глобальной сети до помещений ее клиентов. 


Ч Магистральные сети — это сети, представляющие собой наиболее скоростную часть 
(ядро) глобальной сети, которая объединяет многочисленные сети доступа в единую сеть. 


Ц Сети агрегирования трафика — это сети, агрегирующие данные от многочисленных 
сетей доступа для компактной передачи их по небольшому числу каналов связи в маги- 
страль. Сети агрегирования обычно используются только в крупных глобальных сетях, 
где они занимают промежуточную позицию, помогая магистральной сети обрабатывать 
трафик, поступающий от большого числа сетей доступа. В сетях среднего и небольшого 
размера сети агрегирования обычно отсутствуют. 


Различают также первичные и наложенные телекоммуникационные сети: 


Ч Первичные сети занимают особое положение в мире телекоммуникационных сетей, 
их можно рассматривать как вспомогательные сети, позволяющие гибко создавать по- 
стоянные физические двухточечные каналы для других компьютерных и телефонных 
сетей. В соответствии с семиуровневой моделью ОЗ] первичные сети, подобно простым 
кабелям, выполняют функции физического уровня сетей. Однако в отличие от кабелей 
первичные сети включают дополнительное коммуникационное оборудование, которое 
путем соответствующего конфигурирования позволяет прокладывать новые физиче- 
ские каналы между конечными точками сети. Другими словами, первичная сеть — это 
гибкая среда для создания физических каналов связи. 


О Наложенные сети в этой классификации — это все остальные сети, которые предо- 
ставляют услуги конечным пользователям и строятся на основе каналов первичных 
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сетей — «накладываются» поверх этих сетей. Так, и компьютерные, и телефонные, 
и телевизионные сети являются наложенными. 


БИРОА. 


Магистральная 
сеть 


Сети 
агрегирования 
трафика 


доступа 
и клиенты 


Рис. 4.15. Сети доступа, сети агрегирования трафика и магистральная сеть 


Оптоволоконные кабели обладают наилучшими на сегодняшний день характеристиками 
передачи данных, они используются как в локальных, так и в глобальных проводных сетях. 
Тем не менее термин оптические сети часто трактуется специалистами по компьютерным 
сетям и телекоммуникациям в узком смысле как синоним первичных сетей. Это объяс- 
няется тем, что передача данных по оптическим кабелям является для первичных сетей 
основным вариантом работы, а использование других сред передачи не может обеспечить 
в первичных сетях высоких современных требований по скорости и надежности обмена 
информацией между удаленными узлами сети. 


Интернет представляет собой уникальную сеть, объединяющую практически все компью- 
терные сети (за исключением, может быть, сетей, остающихся изолированными по причине 
повышенной секретности) во всемирном масштабе. Если применить к Интернету признаки, 
описанные в классификации, можно сказать, что это: 


О сеть операторов связи, предоставляющая публичные услуги — как информационные, 
так и транспортные; 


О сеть с коммутацией пакетов; 


О сеть, состоящая из магистральных сетей, сетей агрегирования трафика и сетей доступа. 


ГЛАВА 5 Сетевые характеристики 
и качество обслуживания 


Компьютерная сеть представляет собой сложную и дорогую систему, решающую ответ- 
ственные задачи и обслуживающую большое количество пользователей. Поэтому очень 
важно, чтобы сеть не просто работала, но работала качественно. 


Понятие качества обслуживания можно трактовать очень широко, включая в него все 
возможные и желательные для пользователя свойства сети и поставщика услуг, поддержи- 
вающего работу этой сети. Чтобы пользователь и поставщик услуг могли более конкретно 
обсуждать проблемы обслуживания и строить свои отношения на формальной основе, су- 
ществует ряд общепринятых характеристик качества предоставляемых сетью услуг. В этой 
главе мы рассмотрим только характеристики качества транспортных услуг сети, которые 
намного проще поддаются формализации, чем характеристики качества информационных 
услуг. Характеристики качества транспортных услуг отражают такие важнейшие свойства 
сети, как производительность, надежность и безопасность. 


Часть этих характеристик может быть оценена количественно и измерена при обслужи- 
вании пользователя. Пользователь и поставщик услуг могут заключить соглашение об 
уровне обслуживания, определяющем требования к количественным значениям некоторых 
характеристик, например, к доступности предоставляемых услуг. 


Типы характеристик 


Субъективные оценки качества 


Если опросить пользователей о том, что они вкладывают в понятие качественных сетевых 
услуг, то можно получить очень широкий спектр ответов. Среди них, скорее всего, встре- 
тятся следующие мнения: 


О сеть работает быстро, без задержек; 
Ц трафик передается надежно, данные не теряются; 


О услуги предоставляются бесперебойно по схеме 24 х 7 (то есть 24 часа в сутки семь 
дней в неделю); 

Ч служба поддержки работает хорошо, давая полезные советы и помогая разрешить про- 
блемы; 

О услуги предоставляются по гибкой схеме, мне нравится, что можно в любой момент 
и в широких пределах повысить скорость доступа к сети и увеличить число точек доступа; 


О поставщик не только передает МОЙ трафик, но и защищает мою сеть от вирусов и атак 
злоумышленников, 


О я всегда могу проконтролировать, насколько быстро и без потерь сеть передает мой 
трафик; 
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О поставщик предоставляет широкий спектр услуг, в частности, помимо стандартного 
доступа в Интернет он предлагает хостинг для моего персонального веб-сайта и услуги 
ІР-телефонии. 


Эти субъективные оценки отражают пожелания пользователей к качеству сетевых сер- 
ВИСОВ. 


Требования к характеристикам со стороны 
пользователя и поставщика услуг 


Пользователи сети — это хотя и важная, но только одна сторона бизнеса сетей передачи 
данных. Другая сторона — поставщик услуг: коммерческий, если это публичная сеть, или 
некоммерческий, если сеть корпоративная. Чтобы обе стороны — пользователи и постав- 
щики услуг — могли «найти общий язык», существуют формализованные количественные 
характеристики качества сетевых услуг. 


Получая сетевые услуги, пользователь формулирует определенные требования к харак- 
теристикам сети. Например, пользователь может потребовать, чтобы средняя скорость 
передачи его информации через сеть не опускалась ниже 2 Мбит/с. То есть в данном случае 
пользователь задает тот диапазон значений для средней скорости передачи информации 
через сеть, который для него означает хорошее качество сервиса. 


Все множество количественных характеристик качества транспортных услуг сети можно 
свести к желанию пользователя без потерь и перерывов в обслуживании (надежность) 
передавать с заданной скоростью (производительность) защищенную от несанкциониро- 
ванного доступа и подмены (безопасность) информацию. 


Понятно, что поставщик сетевых услуг, стремясь удовлетворить требования клиентов, 
также уделяет внимание этим характеристикам. В то же время существует ряд характери- 
стик, важных для поставщика сети, но не представляющих интереса для пользователей. 
Поскольку сеть обслуживает большое количество клиентов, информационные потоки 
которых разделяют ресурсы сети — линии связи и коммутаторы (маршрутизаторы), — по- 
ставщику необходимо найти такой баланс в распределении ресурсов между конкуриру- 
ющими потоками, чтобы требования всех пользователей были соблюдены. Решение этой 
задачи включает планирование и контроль расходования ресурсов в процессе передачи 
пользовательского трафика. В связи с этим для поставщика к числу важных характери- 
стик относится производительность оборудования сети — например, производительность 
коммутатора дает ему возможность оценить, какое количество потоков пользователей спо- 
собен обработать этот коммутатор. Для пользователя же производительность коммутатора 
никакого значения не имеет, ему важен конечный результат — будет его поток обслужен 
качественно или нет. 


Долговременные, среднесрочные 
и краткосрочные характеристики 


Рассмотрим еще один способ классификации характеристик — в соответствии с временной 
шкалой, на которой эти характеристики определяются. 
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Долговременные характеристики (или характеристики проектных решений) опреде- 
ляются на промежутках времени от нескольких месяцев до нескольких лет. Примерами 
таких характеристик являются количество и схема соединения коммутаторов в сети, про- 
пускная способность линий связи, конкретные модели и характеристики используемого 
оборудования. Эти параметры сети прямо влияют на характеристики качества сетевых 
услуг. Понятно, что полная замена или глубокая модернизация сети связаны с большими 
финансовыми и временными затратами, поэтому они не могут происходить часто, а значит, 
выбранные однажды параметры продолжают оказывать влияние на качество функциони- 
рования сети в течение продолжительного времени. 


Среднесрочные характеристики определяются на интервалах времени от нескольких се- 
кунд до нескольких дней. Как правило, за это время происходит обслуживание большого 
количества пакетов. Например, к среднесрочным характеристикам может быть отнесено 
усредненное значение задержки пакетов по выборке, взятой в течение суток. 


Краткосрочные характеристики относятся к темпу обработки отдельных пакетов и изме- 
ряются в микросекундном и миллисекундном диапазонах. Например, время буферизации 
или время пребывания пакета в очереди коммутатора либо маршрутизатора является ха- 
рактеристикой этой группы. Для анализа и обеспечения требуемого уровня краткосрочных 
характеристик разработано большое количество методов, получивших название методов 
контроля и предотвращения перегрузок. 


Соглашение об уровне обслуживания 


Основой нормального сотрудничества поставщика услуг и пользователей является договор. 
Такой договор заключается всегда, однако далеко не всегда в нем указываются количе- 
ственные требования к эффективности предоставляемых услуг. Очень часто в договоре 
услуга определяется, например, как «предоставление доступа в Интернет» и т. п. 


Однако существует и другой тип договора, называемый соглашением об уровне обслу- 
живания (Ѕегуісе [еуе| Аргеетепі, ЗГА). В таком соглашении поставщик услуг и клиент 
описывают качество предоставляемой услуги в количественных терминах, пользуясь 
характеристиками эффективности сети. Например, в 51А может быть записано, что по- 
ставщик обязан передавать трафик клиента без потерь и с той средней скоростью, с которой 
пользователь направляет его в сеть. При этом оговорено, что это соглашение действует 
только в том случае, если средняя скорость трафика пользователя не превышает, например, 
3 Мбит/с, в противном случае поставщик получает право просто не передавать избыточный 
трафик. Чтобы каждая сторона могла контролировать соблюдение этого соглашения, необ- 
ходимо указать и период времени, в течение которого будет измеряться средняя скорость, 
например день, час или секунда. Еще более определенным соглашение об уровне обслу- 
живания становится в том случае, когда в нем указываются средства и методы измерения 
характеристик сети — с тем, чтобы у поставщика и пользователя не было расхождений при 
контроле соглашения. 


Соглашения об уровне обслуживания могут заключаться не только между поставщиками 
коммерческих услуг и их клиентами, но и между подразделениями одного и того же пред- 
приятия. В этом случае поставщиком сетевых услуг может являться, например, отдел 
информационных технологий, а потребителем — производственный отдел. 
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Производительность и надежность сети 


Идеальная и реальная сети 


В главе З (раздел «Количественное сравнение задержек») мы рассмотрели различные со- 
ставляющие задержек в сети с коммутацией пакетов, а именно: 


О время передачи данных в канал (время сериализации); 
О время распространения сигнала; 

О время ожидания пакета в очереди; 

О время коммутации пакета. 


Две первые составляющие задержки полностью определяются пропускной способностью 
каналов передачи данных и являются фиксированными величинами для пакета фиксиро- 
ванной длины. Две последние составляющие зависят от загрузки коммутаторов и их бы- 
стродействия и для пакета фиксированной длины в общем случае являются переменными. 


Будем считать, что сеть с коммутацией пакетов работает идеально, если она передает 
каждый бит информации с постоянной скоростью, равной скорости распространения 
света в используемой физической среде. Другими словами, идеальная сеть с коммутацией 
пакетов не вносит никаких дополнительных задержек в передачу данных помимо тех, кото- 
рые вносятся каналами связи, то есть две последние составляющие задержки равны нулю. 


Результат передачи пакетов такой идеальной сетью иллюстрирует рис. 5.1. На верхней 
оси показаны значения времени поступления пакетов в сеть от узла отправителя, а на 
нижней — значения времени поступления пакетов в узел назначения. Таким образом, 
верхняя ось показывает предложенную нагрузку сети, а нижняя — результат передачи 
этой нагрузки через сеть. 


ОИ 


Рис. 5.1. Передача пакетов идеальной сетью 


Определим время задержки пакета как интервал времени между моментом отправления 
первого бита пакета в канал связи узлом отправления и моментом поступления первого 
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бита пакета в узел назначения соответственно (на рисунке обозначены задержки 41, 4 и 43 
пакетов 1, 2 и 3 соответственно), то есть задержка пакета равна времени распространения 
сигнала. 


Как видно из рисунка, идеальная сеть доставляет все пакеты узлу назначения: 
О не потеряв ни одного из них (и не исказив информацию ни в одном из них); 
О втом порядке, в котором они были отправлены; 

О содной и той же минимально возможной задержкой (4, = 4 ит. д.). 


Важно, что все интервалы между соседними пакетами сеть сохраняет в неизменном виде. 
Например, если интервал между первым и вторым пакетами составляет при отправлении 
т, секунд, а между вторым и третьим — т), то такими же интервалы останутся и в узле на- 
значения. 


Надежная доставка всех пакетов с минимально возможной задержкой и сохранением 
временных интервалов между ними удовлетворит любого пользователя сети независимо 
от того, трафик какого приложения он передает по сети — веб-сервиса или ІР-телефонии. 


ПРИМЕЧАНИЕ 


Существуют и другие определения времени задержки пакета. Например, эту величину можно опреде- 
лить как время между моментом отправления первого бита пакета в канал связи узлом отправления 
и моментом поступления последнего бита пакета в узел назначения соответственно (такое опреде- 
ление используется в документе КЕС 2679, описывающем характеристики задержек ІР-пакетов). 
Нетрудно заметить, что в этом определении в задержку пакета включено время сериализации. 


Теперь посмотрим, какие отклонения от идеала могут встречаться в реальной сети и какими 
характеристиками можно эти отклонения описывать (рис. 5.2). 


А А 
1 
Ч? 


ЦА 


Рис. 5.2. Передача пакетов реальной сетью 


Пакеты доставляются сетью узлу назначения с различными задержками. Это — неотъем- 
лемое свойство сетей с коммутацией пакетов. 
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Случайный характер процесса образования очередей приводит к случайным задержкам, при 
этом задержки отдельных пакетов могут быть значительными, в десятки раз превосходя 
среднюю величину задержек (4; # 2, # дз ит. д.). Неравномерность задержек изменяет от- 
носительное положение пакетов в выходном потоке, что может катастрофически сказаться 
на качестве работы некоторых приложений. Например, при цифровой передаче речи ис- 
ходный поток представляет собой равномерно отстоящие друг от друга пакеты, несущие 
замеры голоса. Неравномерность интервалов между пакетами выходного потока приводит 
к существенным искажениям речи. 


Пакеты могут доставляться узлу назначения не в том порядке, в котором они были отправ- 
лены, — например, на рис. 5.2 пакет 4 поступил в узел назначения раньше, чем пакет 3. Та- 
кие ситуации встречаются в дейтаграммных сетях, когда различные пакеты одного потока 
передаются через сеть различными маршрутами и, следовательно, ожидают обслуживания 
в разных очередях с разным уровнем задержек. Очевидно, что пакет З проходил через пере- 
груженный узел или узлы, так что его суммарная задержка оказалась настолько большой, 
что пакет 4 прибыл раньше него. 


Пакеты могут теряться в сети или же приходить в узел назначения с искаженными дан- 
ными, что равносильно потере пакета, так как большинство протоколов неспособно вос- 
станавливать искаженные данные, лишь определяя этот факт по значению контрольной 
суммы в заголовке кадра. 


Пакеты также могут дублироваться по разным причинам, например, из-за ошибочных 
повторных передач пакета, предпринятых протоколом, в котором таким образом обеспе- 
чивается надежный обмен данными. 


В реальной сети скорость информационного потока на входе узла назначения может от- 
личаться от скорости потока, направленного в сеть узлом-отправителем. Виной этому 
являются задержки пакетов в очередях и их потери. Так, в примере, показанном нарис. 5.2, 
средняя скорость исходящего потока снижается из-за потери пакета 5. Чем больше потерь 
и искажений пакетов происходит в сети, тем ниже скорость информационного потока. 


Для оценки отклонения функционирования реальной сети от идеальной используются 
различные характеристики производительности сети. Одни из них касаются различных 
аспектов скорости и задержек, другие — потерь и искажений, третьи — безопасности пере- 
дачи информации передачи пакетов. Относительная важность той или иной характеристики 
зависит от типа приложения, трафик которого переносит сеть. Так, существуют приложения, 
которые очень чувствительны к задержкам пакетов, но в то же время весьма терпимы к по- 
тере отдельного пакета — примером может служить передача голоса через пакетную сеть. 
Поэтому для каждого конкретного случая необходимо выбирать подходящий набор характе- 
ристик сети, адекватно отражающий влияние «неидеальности» сети на работу приложения. 


Статистические оценки характеристик сети 


Для оценки характеристик случайных процессов служат статистические методы, а именно 
такой характер имеют процессы передачи пакетов сетью. Сами характеристики произво- 
дительности сети — как, например, задержка пакета — являются случайными величинами. 
Статистические характеристики выявляют закономерности в поведении сети, которые 
устойчиво проявляются только на длительных периодах времени. Когда мы говорим о дли- 
тельном периоде времени, то мы понимаем под этим интервал, в миллионы раз больший, 
чем время передачи одного пакета, которое в современной сети измеряется микросекунда- 
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ми, например, время передачи пакета Сірађіє ЕЪегпей составляет около 10 мкс. Поэтому 
для получения устойчивых результатов нужно наблюдать поведение сети, по крайней мере, 
в течение нескольких минут, а лучше — нескольких часов. 


Основным инструментом статистики является так называемая гистограмма распределения 
оцениваемой случайной величины. Рассмотрим, например, гистограмму задержки пакета. 
Будем считать, что нам удалось измерить задержку доставки каждого из 2600 пакетов, 
переданных между двумя узлами сети, и сохранить полученные результаты. Каждый ре- 
зультат измерения является единичным значением случайной величины, а в совокупности 
они образуют выборку значений случайной величины. 


Чтобы получить гистограмму распределения, мы должны разбить весь диапазон изме- 
ренных значений задержек на несколько интервалов и подсчитать, сколько замеров из 
выборки попало в каждый интервал. Пусть все значения задержек укладываются в диа- 
пазон 20-90 мс. Разобьем его на семь интервалов по 10 мс. В каждый из этих интервалов, 
начиная с интервала 20-30 мс ит. д., попало 100 (п1), 200 (п2), 300 (п3), 300 (04), 400 (лэ), 
800 (пб) и 500 (77) пакетов соответственно. Отобразив эти числа в виде горизонтальных 
уровней для каждого интервала, мы получим гистограмму, показанную на рис. 5.3, кото- 
рая, основываясь всего на семи числах 71, 72, ... п7, дает нам компактную статистическую 
характеристику задержек 2600 пакетов. 


Количество 
замеров 


800 


700 


600 Плотность распределения 


задержек м = 


500 


400 


300 


200 


100 


Задержка 
пакета 


Рис. 5.3. Гистограмма распределения задержек 


Гистограмма задержек дает хорошее представление о производительности сети. По ней 
можно судить, какие уровни задержек более вероятны, а какие — менее. Чем больше период 
времени, в течение которого собираются данные для построения гистограммы, тем с более 
высокой степенью достоверности можно предсказать поведение сети в будущем. Например, 
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пользуясь гистограммой на рис. 5.3, можно сказать, что и в будущем при измерениях задер- 
жек пакетов у 65 % пакетов задержка превысит 60 мс. Для получения такой оценки мы сло- 
жили общее количество пакетов, задержки которых попали во все интервалы, превышающие 
60 мс (1700 замеров), и разделили эту величину на общее количество пакетов (2600 замеров). 


Насколько точен такой прогноз? Собрали ли мы достаточно экспериментальных данных, 
чтобы делать более-менее достоверные прогнозы? Статистика позволяет судить и об этом, 
однако мы не будем рассматривать здесь эту увлекательную проблему (желающие могут 
обратиться к специальным книгам по статистике). 


При увеличении количества интервалов и времени наблюдения гистограмма в пределе 
переходит в непрерывную функцию, которая называется плотностью распределения за- 
держки доставки пакета (показана пунктиром). В соответствии с теорией вероятность того, 
что значение случайной величины окажется в определенном диапазоне, равна интегралу 
плотности распределения случайной величины от нижней до верхней границы данного ди- 
апазона. Таким образом, может быть вычислено вероятностное значение задержки пакета. 


Гистограмма дает наглядное представление соответствующей характеристики, но чаще ис- 
пользуются более компактные статистические оценки характеристик, которые позволяют 
представить характеристику одним числом на основе некоторой математической обработки 
имеющейся выборки. 


Для описания характеристик сети используются следующие статистические оценки: 


О среднее значение (П) вычисляется как сумма всех значений оцениваемой величины 4, 
деленная на количество всех измерений №: 
рох 
М 
Для примера, приведенного на рис. 5.3, среднее значение равно: (100 х 25 + 200 х 35 + 
300 х 45 + 300 х 55 + 400 х 65 + 800 х 75 + 500 х 85) /2600 = 64,6 мс (при вычислениях 


использованы средние значения интервалов); 


О медиана представляет такое значение оцениваемой величины, которое делит ранжиро- 
ванную (упорядоченную) выборку пополам, то есть таким образом, чтобы количество 
замеров, значения которых меньше или равны значению медианы, равнялось количе- 
ству замеров, значения которых больше или равны значению медианы. В нашем при- 
мере медианой выборки является значение 70 мс, поскольку число замеров, значения 
которых меньше или равны 70 мс, составляет 1300, как и число замеров, значения 
которых больше или равны 70 мс; 


О стандартное отклонение, или вариация, (/) представляет собой среднее отклонение 
каждого отдельного замера от среднего значения оцениваемой величины: 


Очевидно, что если все задержки 4; равны между собой, то вариация отсутствует, что 
подтверждают приведенные формулы — в этом случае О = фи] = 0; 


О коэффициент вариации (СУ) — это безразмерная величина, которая равна отношению 
стандартного отклонения к среднему значению оцениваемой величины: 


буи. 
р 
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Коэффициент вариации характеризует оцениваемую величину без привязки к ее 
абсолютным значениям. Так, идеальный равномерный поток пакетов всегда будет об- 
ладать нулевым значением коэффициента вариации задержки пакета. Коэффициент 
вариации задержки пакета, равный 1, означает пульсирующий трафик, так как средние 
отклонения интервалов от некоторого среднего периода следования пакетов равны 
этому периоду; 


О квантиль (процентиль) — это значение оцениваемой величины, делящее ранжирован- 
ную выборку на две части так, что процент замеров, значения которых меньше или 
равны значению квантиля, равен некоторому заданному уровню. В этом определении 
фигурируют два числа: заранее заданный процент и найденное по нему и замерам 
выборки значение квантиля. Нетрудно заметить, что 50-процентный квантиль равен 
медиане. Для оценки характеристик сети обычно используют квантили с достаточно 
большим значением процента, например, 99-процентные квантили, которые дают воз- 
можность судить о наиболее вероятных значениях характеристик. 


Статистические методы применяются к различным характеристикам производительно- 
сти сети — скорости передачи данных, задержкам, времени ожидания в буфере, времени 
коммутации, количеству потерянных пакетов и др., так как все они являются случайными 
величинами. 


Последовательность замеров рекомендуется выполнять в случайные моменты времени, 
подчиняющиеся распределению Пуассона. Такой порядок выбора времени замеров по- 
зволяет избежать возможной синхронизации измерений с любыми периодическими 
флюктуациями в поведении сети, так как подобная синхронизация может существенно 
исказить наблюдаемую картину. 


Активные и пассивные измерения в сети 


Чтобы оценить некоторую характеристику производительности сети, необходимо про- 
вести определенные измерения на последовательности пакетов, поступающих на неко- 
торый интерфейс сетевого устройства. Существует два типа измерений в сети: активные 
и пассивные. 


Активные измерения основаны на генерации в узле-источнике специальных «измеритель- 
ных» пакетов. Эти пакеты ДОЛЖНЫ пройти через сеть тем же путем, что и пакеты, характе- 
ристики которых мы собираемся оценивать. Измерения в узле назначения проводятся на 
последовательности «измерительных» пакетов. 


Рисунок 5.4 иллюстрирует идею активных измерений. Допустим, требуется измерить за- 
держки пакетов, которые передаются от компьютера-клиента приложения А компьютеру- 
серверу приложения А через сеть. Вместо того чтобы пытаться измерить задержки пакетов, 
генерируемых клиентским компьютером, мы устанавливаем в сети два дополнительных 
компьютера: сервер-генератор и сервер-измеритель. Сервер-генератор генерирует измери- 
тельные пакеты (показанные на рисунке серым цветом), сервер-измеритель — измеряет 
задержки этих пакетов. 


Чтобы измеряемые значения были близки к значениям задержки пакетов приложения А, 
нужно, чтобы измерительные пакеты проходили через сеть по тому же пути, что и пакеты 
приложения А. В нашем примере эта цель достигается за счет подключения дополни- 
тельных компьютеров к портам тех же коммутаторов 51 и 52, к которым подключены 
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оригинальные узлы. Кроме ТОГО, требуется, чтобы измерительные пакеты как можно 
больше «походили» на оригинальные Пакеты — размерами, признаками, помещенными 
В заголовки пакетов. 


Клиент Сервер 


приложения А приложения А 
Пакеты приложения А 


Измерительные пакеты 
Сервер-генератор Сервер-измеритель 


Рис. 5.4. Схема активных измерений 


Измерительные пакеты не должны генерироваться слишком часто, иначе нагрузка сети 
может существенно измениться, и результаты замеров будут отличаться от тех, которые 
были бы получены в отсутствие измерительных пакетов. Другими словами, измерения не 
должны менять условий работы сети. Обычно интенсивность генерации измерительных 
пакетов не превосходит 20—50 пакетов в секунду. 


Возникает естественный вопрос: зачем нужно решать столько лишних проблем: размещать 
дополнительное оборудование, создавать условия для измерительных пакетов, близкие 
к условиям обработки оригинальных пакетов, и в то же время стараться не изменить на- 
грузку сети? Не проще ли измерять параметры реальных пакетов? Ответ заключается 
в том, что активная схема упрощает процесс проведения измерений и позволяет добиться 
их высокой точности. 


Во-первых, так как сервер-генератор создает специальные пакеты, предназначенные для 
измерений, он легко может поместить в них служебную информацию, например, времен- 
ную отметку (ите-${атр) отправки пакета, с тем чтобы сервер-измеритель использовал 
ее для вычисления времени задержки. 


Во-вторых, для того чтобы измерения задержки были точными, нужна хорошая синхрони- 
зация сервера-генератора и сервера-измерителя. Поскольку в схеме активных измерений 
они представляют собой специальные узлы, такой синхронизации добиться проще, чем 
в случае синхронизации клиентской и серверной частей приложения А, которые чаще всего 
установлены на обычных компьютерах. 


В-третьих, иногда у инженеров, проводящих измерения, просто нет доступа к компьюте- 
рам, на которых работают приложения, чтобы установить там программное обеспечение 
для требуемых измерений. 


В-четвертых, если такой доступ и существует, то операционные системы клиента и сервера, 
как и их аппаратная платформа, скорее всего, не оптимизированы для точных измерений 
временных интервалов, а значит, вносят большие искажения в результаты (например, за 
счет задержек программы измерений в очереди к центральному процессору). 
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Однако преимущества активной схемы измерений не являются абсолютными. В некоторых 
ситуациях более предпочтительной является схема пассивных измерений. 


Пассивные измерения основаны на измерениях характеристик реального трафика 


(рис. 2.9). 
Клиент Сервер 
приложения А приложения А 


Пакеты приложения А 


Сервер-измеритель 
Рис. 5.5. Схема пассивных измерений 


Приводя аргументы в пользу схемы активных измерений, мы, в сущности, описали про- 
блемы, которые приходится решать при использовании схемы пассивных измерений: 
сложности синхронизации клиента и сервера, дополнительные и неопределенные за- 
держки, вносимые универсальными мультипрограммными операционными системами 
этих компьютеров, отсутствие в заголовке используемых приложением пакетов поля для 
переноса по сети временной отметки. 


Частично эти проблемы решаются за счет применения отдельного сервера-измерителя. 
Этот сервер принимает тот же поток пакетов, что и один из узлов, участвующий в обмене 
пакетами (на рисунке показан случай, когда сервер-измеритель ставится в параллель с сер- 
вером приложения А). Чтобы сервер-измеритель получал тот же входной поток пакетов, 
что и оригинальный узел, обычно прибегают к дублированию измеряемого трафика на 
порт, к которому подключен сервер-измеритель. Такую функцию, называемую зеркали- 
зацией портов, поддерживают многие коммутаторы локальных сетей. Сервер-измеритель 
может работать под управлением специализированной операционной системы, оптимизи- 
рованной для выполнения точных измерений временных интервалов. 


Сложнее решить проблему синхронизации. Некоторые протоколы переносят временные от- 
метки в своих служебных полях, так что если, например, приложение А использует такой про- 
токол, то часть проблемы решается. Однако и в этом случае остается открытым вопрос о точ- 
ности системного времени в компьютере клиента приложения 4; скорее всего, эта точность 
невысока. Поэтому в пассивном режиме измеряют те характеристики, которые не требуют 
синхронизации передатчика и приемника, например, оценивают долю потерянных пакетов. 


Возможным вариантом пассивной схемы измерений является отсутствие выделенного сер- 
вера-измерителя. Некоторые приложения сами выполняют измерения задержек поступа- 
ющих пакетов, например, такими функциями обладают многие приложения ІР-телефонии 
и видеоконференций, так как информация о задержках пакетов помогает определить воз- 
можную причину неудовлетворительного качества работы приложения. 
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Характеристики задержек пакетов 


Для оценки производительности сети используются различные характеристики задержек, 
в том числе: 


О односторонняя задержка пакетов; 
Ц вариация задержки пакета; 
О время реакции сети; 


О время оборота пакета. 


Единичное значение односторонней задержки пакета (Опе-Мау Ое!ау Меїгіс, ОМО) опреде- 
ленного типа — это интервал времени между моментом помещения в исходящую линию связи 
первого бита пакета узлом-отправителем и моментом приема последнего бита пакета с входящей 
линии связи узла-получателя. 


Под определенным типом пакета понимается пакет, который имеет некоторый заранее 
определенный набор признаков; ими могут быть, например, размер пакета, тип прило- 
жения, сгенерировавшего пакет, тип протокола транспортного уровня, который доставил 
пакет, а также некоторые другие. 


Так как в этом определении учитывается время буферизации (сериализации) пакета уз- 
лом-получателем, то задержка зависит от размера пакета, и для получения сопоставимых 
результатов желательно в определении типа пакетов задавать определенный размер пакета. 
Определение времени задержки с учетом буферизации упрощает измерение времени при- 
хода пакета, так как программно его можно измерить только после завершения записи всего 
пакета в буфер операционной системы. Кроме того, при получении только одного первого 
бита пакета невозможно понять, относится ли пакет к интересующему типу. 


Для некоторых приложений очень важна вариация задержки пакета, которую также на- 
зывают джиттером (јіссег). Так, при воспроизведении видеоклипа сама по себе задержка 
не очень существенна, например, если все пакеты задерживаются ровно на десять секунд, 
то качество воспроизведения не пострадает, а тот факт, что картинка появляется чуть поз- 
же, чем ее отослал сервер, даже не будет замечен пользователем (хотя в интерактивных 
видеоприложениях, таких как видеоконференции, подобная задержка будет, конечно, уже 
ощутимо раздражать). А вот если задержки постоянно изменяются в пределах от нуля до 
10 секунд, то качество воспроизведения клипа заметно ухудшится, и для компенсации 
таких переменных задержек нужна предварительная буферизация поступающих пакетов 
в течение времени, превышающего вариацию задержки. 


Единичное значение вариации задержки определяется стандартом как разность односторонних 
задержек для пары пакетов определенного типа, полученных на интервале измерений Т. 


Как и для односторонней задержки, тип пакета может задаваться любыми признаками, при 
этом размеры обоих пакетов должны быть одинаковыми. Выбор пары пакетов на интервале 
измерения Т должен осуществляться в соответствии с некоторым заранее принятым пра- 
вилом. Например, пары могут образовываться из всех последовательных пакетов, получен- 
ных на интервале; другим примером является выбор пакетов с определенными номерами 
в последовательности полученных пакетов, например, пакетов с номерами 1, 5, 10, 15 ит. д. 
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Время реакции сети определяется как интервал времени между отправкой запроса пользова- 
теля к какой-либо сетевой службе и получением ответа на этот запрос. 


Время реакции сети представляет собой интегральную характеристику производительно- 
сти сети с точки зрения пользователя. Именно эту характеристику имеет в виду пользова- 
тель, когда говорит: «Сегодня сеть работает медленно». Время реакции можно представить 
в виде нескольких слагаемых, например (рис. 5.6): 


О времени подготовки запросов на клиентском компьютере (Ё„лиент1); 
О времени передачи запросов между клиентом и сервером через сеть (сеть); 
времени обработки запросов на сервере (сервер); 


времени передачи ответов от сервера клиенту через сеть (снова {кеть); 


Соо 


времени обработки получаемых от сервера ответов на клиентском компьютере (Ѓ,лиент2). 


{ сервер 
Рис. 5.6. Время реакции и время оборота 


Время реакции сети характеризует сеть в целом, в том числе качество работы аппаратного 
и программного обеспечения серверов. Чтобы отдельно оценить транспортные возможно- 
сти сети, используется другая характеристика — время оборота данных по сети. 


Время оборота пакета (Воипа Тир Тіте, ВТТ) определяется как интервал времени между от- 
правкой первого бита пакета определенного типа узлом-отправителем узлу-получателю и полу- 
чением последнего бита этого пакета узлом-отправителем после того, как пакет был получен 
узлом-получателем и отправлен обратно. 


Время оборота пакета является составляющей времени реакции сети — это «чистое» вре- 
мя транспортировки данных от узла отправителя до узла назначения и обратно без учета 
времени, затраченного узлом назначения на подготовку ответа: 


ВЕ аь 


КТТ является удобной для измерений характеристикой, так как для ее получения не 
требуется синхронизация узла-отправителя и узла-получателя: узел-отправитель ставит 
временную отметку на отправляемый пакет, а затем по прибытии его от узла-получателя 
сравнивает эту отметку со своим текущим системным временем. Однако информативность 
времени оборота меньше, чем односторонней задержки, так как информация о задержке 
в каждом направлении теряется, а это может затруднить поиск проблемного пути в сети. 


Для каждой из рассмотренных здесь характеристик, как правило, вычисляются их статисти- 
ческие оценки — максимальные, минимальные и средние значения, медианы, квантили и др. 
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Характеристики скорости передачи 


Скорость передачи данных (шюгтайоп гаќе) измеряется на каком-либо промежутке вре- 
мени и вычисляется как частное от деления объема переданных за этот период данных на 
продолжительность периода. Она измеряется в кадрах, пакетах, битах или байтах в секун- 
ду. Данная характеристика всегда по определению является средней скоростью передачи 
данных. Однако в зависимости от величины интервала, на котором измеряется скорость, 
для этой характеристики традиционно используется одно из двух наименований: средняя 
или мгновенная скорость. 


Средняя скорость передачи данных (Зизаше шЮгтайоп Каѓе, 51К) — это среднесрочная 
характеристика. Она определяется на относительно большом периоде времени, достаточ- 
ном, чтобы можно было говорить об устойчивом поведении такой случайной величины, 
которой является скорость. Средняя скорость должна использоваться в паре с параметром, 
оговаривающим период контроля (период измерения) этой величины, например 10 секунд. 
Это означает, что скорость информационного потока вычисляется каждые 10 секунд. Если 
бы такие контрольные измерения не проводились, то это лишило бы пользователя возмож- 
ности предъявлять претензии поставщику в некоторых конфликтных ситуациях. Напри- 
мер, если поставщик в один из дней месяца вообще не будет передавать пользовательский 
трафик, а в остальные дни разрешит пользователю превышать оговоренный предел, то 
средняя скорость за месяц окажется в норме. В этой ситуации только регулярный контроль 
скорости поможет пользователю отстоять свои права. 


Мгновенная скорость передачи данных (ш${апапеой$ Іпѓогтаёіоп Каѓе, ПК.) — это кратко- 
срочная характеристика, равная средней скорости на очень коротком интервале времени. 


Мгновенная скорость, измеренная на интервале передачи пакета, равна битовой скорости 
протокола физического уровня (например, для пакета стандарта 1СіваБіє Есһегпеѓ она равна 
1 Гбит/с) и равна нулю в интервалах между передачами пакетов. Все пакеты, передаваемые 
по каналам связи одного и того же стандарта, имеют одну и ту же мгновенную скорость. Эта 
скорость — постоянная величина, она не зависит ни от объема пакета, ни от характеристик 
потока, к которому он относится; не может быть ни уменьшена, ни увеличена. 


ПРИМЕЧАНИЕ 


Заметим, что выше мы говорили о скорости передачи отдельного пакета. Другое дело — скорость по- 
тока пакетов. В этом случае измерение скорости выполняется на относительно большом интервале 
времени (большем, чем время передачи одного пакета), в течение этого времени может передаваться 
разное, но, как правило, большое количество пакетов. Как следует из определения скорости, чем боль- 
ше объем передаваемых данных (количество переданных пакетов), тем выше скорость. И чем больше 
интервалы между пакетами, тем ниже скорость. Очевидно, что в отличие от скоростей отдельных 
пакетов, потоки данных могут передаваться по одному и тому же каналу с разными скоростями, но 
при этом скорости потоков не превосходят пропускную способность канала. 


Вариация мгновенной скорости, то есть степень отклонения мгновенных значений от 
средней скорости, характеризует неравномерность трафика. 


На рис. 5.7 показан реальный график изменения скорости выходного трафика, передавае- 
мого от университетского кампуса к серверам провайдера в течение рабочего дня (нижний 
график описывает входной трафик). На графике имеются участки, имеющие форму пиков, 
на которых мгновенная скорость значительно отличается от средней. Такие участки на- 
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зывают пульсациями. На рисунке отмечены пульсация 1 и пульсация 2. Каждая из них 
характеризуется периодом пульсации и пиковой скоростью. 


Пиковая скорость передачи данных (РеаК шюгтаЧоп Вже, РІК) — это средняя скорость 
на периоде пульсации. Пиковая скорость является краткосрочной характеристикой, 
она отражает способность сети справляться с пиковыми нагрузками, характерными 
для пульсирующего трафика и приводящими к перегрузке. Если период усреднения 
в определении пиковой скорости выбран достаточно небольшим, то можно говорить. 
что пиковая скорость является заданным верхним пределом для мгновенной скорости 
пользовательского потока. 


4 Гбит/с Пиковая скорость 
на участке Т1 Пульсация 1 
(10:15-10:45) 
РИТ Я Е ак а Пульсация 2 
2 Гбит/с Средняя скорость 
на участке 
10-16 часов `` 571%Ї $ 7 26А . К Е ‚8 К РУНЕТЕ 
1 Гбит/с 


"Периоды пульсации 


Агу 


98:00 10:00 12:00 14:00 16:00 


Рис. 5.7. Скорость передачи трафика. Пульсации 


Величина пульсации (обычно обозначаемая В от англ. Виг5ѓ) служит для оценки емкости 
буфера коммутатора, необходимого для хранения данных во время перегрузки. Величина 
пульсации равна общему объему данных, поступающих на коммутатор в течение периода 
пульсации Т передачи данных с пиковой скоростью (РІК): В = РІК х Т. 


Еще одной характеристикой неравномерности передачи данных является коэффициент 
пульсации трафика — это отношение максимальной пиковой скорости к средней скоро- 
сти трафика, измеренной за длительный период времени. Неопределенность временных 
периодов делает коэффициент пульсации качественной характеристикой трафика. 


Скоростные характеристики процесса передачи данных играют важную роль в отношени- 
ях поставщика услуг с клиентами. В соглашении 5ГА об уровне услуг провайдер указывает 
ограничения на трафик, передаваемый клиентом, в виде максимально допустимой ско- 
рости на заданных интервалах усреднения. Иногда в соглашении 51А фигурирует один 
такой период, иногда больше — тогда речь идет об ограничениях на скорости, вычислен- 
ных по-разному, например, на продолжительном и на коротком периодах усреднения, 
что позволяет более точно описать процесс передачи пульсирующего компьютерного 
трафика через сеть. На рис. 5.8 показаны ограничения провайдера на максимально до- 
пустимую среднюю скорость и максимально допустимую пиковую скорость пользо- 
вательского трафика. 


Скорость передачи данных можно измерять между любыми двумя узлами, или точками, 
сети, например, между клиентским компьютером и сервером, между входным и выходным 
портами маршрутизатора. 
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Пульсация 


Максимально 
допустимая Величина Е 
РІВ пульсации | | 
В= РІК хт | 
Максимально | | | | 
допустимая ЭК пша а А А Е Е Н А сана Н п 


на интервале Т5 


ІК пользова- 
тельского 
трафика 

на интервале Т5 


Т ’ Время 
ТУ 


я ра 


Рис. 5.8. Ограничения провайдера на скорость пользовательского трафика 


Характеристики надежности сети 


В том случае, если пакет не прибыл в узел назначения за некоторое достаточно большое 
время (точное значение определяет разработчик системы измерений), пакет считается 
утерянным. 


В качестве характеристики потерь пакетов используется доля потерянных пакетов (обо- 
значим ее Г), равная отношению количества потерянных пакетов (№) к общему количеству 
переданных пакетов (№): 


Е = М /М. 


Может использоваться и аналогичная характеристика, оперирующая не количествами 
потерянных и переданных Пакетов, а объемами данных, содержащихся в этих пакетах. 


Для описания надежности отдельных устройств служат такие показатели надежности, как 
среднее время наработки на отказ, вероятность отказа, интенсивность отказов. Однако 
эти показатели пригодны только для оценки надежности простых элементов и устройств, 
которые при отказе любого своего компонента переходят в неработоспособное состояние. 
Сложные системы, состоящие из многих компонентов, могут при отказе одного из компо- 
нентов сохранять свою работоспособность. В связи с этим для оценки надежности сложных 
систем применяется другой набор характеристик. 


Доступность (ауайа ИЙу) означает долю времени, в течение которого система или служба на- 
ходится в работоспособном состоянии. 


Доступность является долговременной статистической характеристикой, поэтому измеря- 
ется за большой промежуток времени, которым может быть день, месяц или год. Примером 
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высокого уровня доступности является коммуникационное оборудование телефонных сетей, 
лучшие представители которого обладают так называемой доступностью «пять девяток». Это 
означает, что доступность равна 0,99999, что соответствует чуть более 5 минутам простоя 
в год. Заметим, что существующее оборудование и услуги передачи данных только стремятся 
к такому рубежу, но рубеж трех девяток уже достигнут. Доступность услуги является уни- 
версальной характеристикой, которая важна как пользователям, так и поставщикам услуг. 


Еще одной характеристикой надежности сложных систем является отказоустойчивость 
(ѓаш соегапсе). Под отказоустойчивостью понимается способность системы скрывать от 
пользователя отказ отдельных ее элементов. 


Например, если коммутатор оснащен двумя коммутационными центрами, работающими 
параллельно, то отказ одного их них не приведет к полной остановке коммутатора. Однако 
производительность коммутатора снизится, он будет обрабатывать пакеты вдвое медлен- 
нее. В отказоустойчивой системе отказ одного из ее элементов приводит к некоторому 
снижению качества ее работы — деградации, а не к полной ее остановке. В качестве еще 
одного примера можно назвать использование двух физических каналов для соединения 
коммутаторов. В нормальном режиме работы трафик передается по двум каналам со ско- 
ростью С Мбит/с. При отказе одного из них трафик будут продолжать передаваться, но 
уже со скоростью С/2 Мбит/с. Однако из-за того, что во многих случаях количественно 
определить степени деградации системы или услуги достаточно сложно, отказоустойчи- 
вость чаще всего применяется как качественная характеристика. 


Характеристики сети поставщика услуг 


Рассмотрим основные характеристики, которыми оперирует поставщик услуг, оценивая 
эффективность своей сети. Эти характеристики — расширяемость, масштабируемость, 
управляемость и совместимость — являются качественными, то есть не могут быть вы- 
ражены числами и соотношениями. 


Термины «расширяемость» и «масштабируемость» иногда используют как синонимы, что 
неверно. Принципиальные смысловые различия заключаются в следующем. 


Расширяемость означает возможность сравнительно простого добавления отдельных компо- 
нентов сети (пользователей, компьютеров, приложений, служб), наращивания длины сегментов 
кабелей и замены существующей аппаратуры более мощной. 


При этом принципиально важно, что простота расширения системы иногда может обе- 
спечиваться в определенных пределах. Например, локальная сеть Еїћегпеї, построенная 
на основе одного разделяемого сегмента коаксиального кабеля, обладает хорошей расши- 
ряемостью в том смысле, что позволяет легко подключать новые станции. Однако такая 
сеть имеет ограничение на число станций, которое не должно превышать 30—40. Хотя сеть 
допускает физическое подключение к сегменту и большего числа станций (до 100), при 
этом резко снижается производительность сети. Наличие такого ограничения и является 
признаком плохой масштабируемости системы при ее хорошей расширяемости. 


Масштабируемость означает, что сеть позволяет наращивать количество узлов и протяженность 
связей в очень широких пределах, при этом производительность сети не снижается. 
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Для обеспечения масштабируемости сети приходится применять дополнительное комму- 
никационное оборудование и специальным образом структурировать сеть. Обычно масшта- 
бируемое решение обладает многоуровневой иерархической структурой, которая позволяет 
добавлять элементы на каждом уровне иерархии без изменения главной идеи проекта. 
Примером хорошо масштабируемой сети является Интернет, технология которого (ТСР/ 
ІР) оказалась способной поддерживать сеть глобально, то есть в масштабах земного шара. 


Не только сама сеть должна быть масштабируемой, но и устройства, работающие на маги- 
страли сети, также должны обладать этим свойством, так как рост сети не должен приво- 
дить к необходимости постоянной смены оборудования. Поэтому магистральные коммута- 
торы и маршрутизаторы строятся обычно по модульному принципу, позволяя наращивать 
количество интерфейсов и производительность обработки пакетов в широких пределах. 


Управляемость сети подразумевает возможность централизованно контролировать состо- 
яние основных элементов сети, выявлять и разрешать проблемы, возникающие при работе 
сети, анализировать производительность и планировать развитие сети. 


Управляемость предполагает наличие в сети некоторых автоматизированных средств ад- 
министрирования, которые взаимодействуют с программным и аппаратным обеспечением 
сети с помощью коммуникационных протоколов. В идеале средства администрирования 
сети обеспечивают наблюдение и контроль за каждым элементом сети, и обнаружив пробле- 
му, активизируют определенное действие, например, исправляют ситуацию и уведомляют 
администратора о том, что произошло и какие шаги предприняты. Одновременно с этим 
система администрирования должна накапливать данные, на основании которых можно 
планировать развитие сети. Наконец, система администрирования должна быть незави- 
сима от производителя и обладать удобным интерфейсом, позволяющим выполнять все 
действия с одной консоли. 


Решая тактические задачи, администраторы и технический персонал сталкиваются с еже- 
дневными проблемами поддержания работоспособности сети. Эти задачи требуют бы- 
строго решения, обслуживающий сеть персонал должен оперативно реагировать на со- 
общения о неисправностях, поступающие от пользователей или автоматических средств 
администрирования сети. Постепенно становятся заметными более общие проблемы 
производительности, конфигурирования сети, обработки сбоев и безопасности данных, 
требующие стратегического подхода, то есть планирования сети. Планирование, кроме того, 
подразумевает умение прогнозировать изменения в требованиях пользователей к сети, 
решение вопросов о применении новых приложений, новых сетевых технологий и т. п. 


Полезность систем администрирования особенно ярко проявляется в больших сетях: 
корпоративных или публичных глобальных. Без систем администрирования в таких сетях 
потребовалось бы содержание огромного штата обслуживающего персонала. 


Однако в настоящее время большинство существующих средств вовсе не управляет сетью, 
а всего лишь обеспечивает наблюдение за ее работой и фиксацию важных событий, напри- 
мер отказов устройств. Реже системы администрирования выполняют активные действия, 
автоматически ликвидируя последствия нежелательного события или предотвращая его. 


Совместимость, или интегрируемость, сети означает, что сеть способна включать в себя 
самое разнообразное программное и аппаратное обеспечение, то есть в ней могут сосуще- 
ствовать различные операционные системы, поддерживающие разные стеки коммуникаци- 
онных протоколов, а также аппаратные средства и приложения от разных производителей. 
Сеть, состоящая из разнотипных элементов, называется неоднородной, или гетерогенной, 
аесли гетерогенная сеть работает без проблем, то она является интегрированной. Основной 
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путь построения интегрированных сетей — использование модулей, выполненных в соот- 
ветствии с открытыми стандартами и спецификациями. 


Приложения и качество обслуживания 


Поскольку существующие приложения в общем случае предъявляют разные требования 
к качеству обслуживания, важной задачей является их классификация в этом отношении. 
В качестве критериев классификации будем использовать следующие свойства приложений: 


Ц степень равномерности порождаемого ими трафика; 
О чувствительность приложений к задержкам пакетов; 


О чувствительность приложений к потерям и искажениям пакетов. 


Степень равномерности порождаемого трафика 


В отношении равномерности порождаемого трафика приложения делятся на два класса: 
приложения с потоковым трафиком и приложения с пульсирующим трафиком. 


Приложения с потоковым трафиком (5(геат) порождают равномерный поток данных, 
который поступает в сеть с постоянной битовой скоростью (Сопѕѓап Ви Каѓе, СВК). 
В случае коммутации пакетов трафик таких приложений представляет собой последова- 
тельность пакетов одинакового размера (равного В бит), следующих друг за другом через 
один и тот же интервал времени Т (рис. 5.9, а). 


Номинальная 
скорость С В=1906 СВК = ВІТ 


Пакеты размером В бит 


Номинальная 
скорость 


Рис. 5.9. Потоковый (а) и пульсирующий (6) трафики 
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СВК потокового трафика может быть вычислена путем усреднения на интервале: 
СВК = В/Тбит/с. 


Приложения с пульсирующим трафиком (Бигѕї) отличаются высокой степенью непред- 
сказуемости, в этих приложениях периоды молчания сменяются пульсациями, в течение 
которых пакеты «плотно» следуют друг за другом. В результате трафик характеризуется 
переменной битовой скоростью (Уагіађе Ви Вже, УВК), что иллюстрирует рис. 5.9, 6. 
Так, при работе приложений файлового сервиса интенсивность трафика, генерируемого 
приложением, может падать до нуля, когда файлы не передаются, и повышаться до мак- 
симально доступной интенсивности, ограниченной только возможностями сети, когда 
файловый сервер передает файл. 


На рисунке показана ситуация, когда за период длительностью ЭТ передано три пакета 
(все пакеты имеют одинаковый размер В), затем (за период длительностью Т) передано 
5 пакетов, а за период длительностью 6Т — 2 пакета. Пиковой скоростью трафика является 
скорость за второй период, когда за время Т было передано 5 пакетов, поэтому РІК = 5В/Т. 


В то же время средняя скорость передачи данных (Ѕиѕѓаіпеа шЮгтайоп Каќе, 51К) за все 
периоды наблюдений составила 10В/12Т = 5В/6Т. 


Для приведенного примера можно подсчитать коэффициент пульсации. Он равен отно- 
шению пиковой скорости к средней скорости трафика, измеренной за длительный период 
времени. Таким образом, коэффициент пульсации равен РІК/$І1К = (5В/Т)/(5ВУ6Т) = 6. 


Практически любой трафик, даже трафик потоковых приложений, имеет ненулевой 
коэффициент пульсации. Просто значения коэффициентов пульсации у потокового 
и пульсирующего трафиков существенно различаются. У приложений с пульсирующим 
трафиком он обычно находится в пределах от 2 до 100, а у потоковых приложений он 
близок к 1. В локальных сетях коэффициент пульсации обычно выше, чем в глобальных, 
поскольку на магистралях глобальных сетей трафик представляет собой сумму трафиков 
многих источников, что по закону больших чисел приводит к сглаживанию результиру- 
ющего трафика. 


Чувствительность приложений 
к задержкам пакетов 


Еще один критерий классификации приложений — их чувствительность к задержкам паке- 
тов и их вариациям. Далее перечислены основные типы приложений в порядке повышения 
чувствительности к задержкам пакетов: 


О асинхронные приложения практически не имеют ограничений на время задержки 
(эластичный трафик). Пример такого приложения — электронная почта; 


О интерактивные приложения. Задержки могут быть замечены пользователями, но они 
не сказываются негативно на функциональности приложений. Пример — текстовый 
редактор, работающий с удаленным файлом; 


О изохронные приложения имеют порог чувствительности к вариациям задержек, при 
превышении которого резко снижается функциональность приложений. Пример — 
передача голоса, когда при превышении порога вариации задержек в 100-150 мс ис- 
кажение голоса становится неприемлемым; 
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О сверхчувствительные к задержкам приложения, для которых задержка доставки 
данных сводит их функциональность к нулю. Пример — приложения, управляющие 
техническим объектом в реальном времени. При запаздывании управляющего сигнала 
на объекте может произойти авария. 


Вообще говоря, интерактивность приложения всегда повышает его чувствительность 
к задержкам. Например, широковещательная рассылка аудиоинформации может выдержи- 
вать значительные задержки в передаче пакетов (оставаясь чувствительным к вариациям 
задержек), а интерактивный телефонный или телевизионный разговор их не терпит, что 
хорошо заметно при трансляции разговора через спутник. Длительные паузы в разговоре 
вводят собеседников в заблуждение, часто они теряют терпение и начинают очередную 
фразу одновременно. 


Наряду с приведенной классификацией, тонко дифференцирующей чувствительность 
приложений к задержкам и их вариациям, существует и более грубое деление приложений 
по этому признаку на два класса: асинхронные и синхронные. К асинхронным относят те 
приложения, которые нечувствительны к задержкам передачи данных в очень широком 
диапазоне, вплоть до нескольких секунд, а все остальные приложения, на функциональ- 
ность которых задержки влияют существенно, относят к синхронным приложениям. 
Интерактивные приложения могут относиться как к асинхронным (например, текстовый 
редактор), так и к синхронным (например, видеоконференция). 


Чувствительность приложений к потерям 
и искажениям пакетов 


И наконец, последним критерием классификации приложений является их чувствитель- 
ность к потерям пакетов. В этой связи приложения обычно делят на две группы. 


Ц Приложения, чувствительные к потере данных. Практически все приложения, переда- 
ющие алфавитно-цифровые данные (к которым относятся текстовые документы, коды 
программ, числовые массивы и т. п.), обладают высокой чувствительностью к потере 
отдельных, даже небольших фрагментов данных. Такие потери часто ведут к полному 
обесцениванию остальной успешно принятой информации. Например, отсутствие 
хотя бы одного байта в коде программы делает ее совершенно неработоспособной. Все 
традиционные сетевые приложения (файловый сервис, сервис баз данных, электронная 
почта и т. д.) относятся к этому типу приложений. 


Ц Приложения, устойчивые к потере данных. К этому типу относятся многие прило- 
жения, передающие трафик с информацией об инерционных физических процессах. 
Устойчивость к потерям объясняется тем, что небольшое количество отсутствующих 
данных можно определить на основе принятых. Так, при потере одного пакета, несущего 
несколько последовательных замеров голоса, отсутствующие замеры при воспроиз- 
ведении голоса могут быть заменены аппроксимацией на основе соседних значений. 
К такому типу относится большая часть приложений, работающих с мультимедийным 
трафиком (аудио- и видеоприложения). Однако устойчивость к потерям имеет свои 
пределы, поэтому процент потерянных пакетов не может быть большим (например, не 
более 1 %). Можно отметить также, что не любой мультимедийный трафик устойчив 
к потерям данных, так, компрессированный голос и видеоизображение очень чувстви- 
тельны к потерям, поэтому относятся к первому типу приложений. 
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Методы обеспечения качества 
обслуживания 


Методы обеспечения качества обслуживания (ОцаШу оѓ Ѕегуісе, Оо$) занимают сегодня 
важное место в арсенале технологий сетей с коммутацией пакетов, так как они обеспе- 
чивают устойчивую работу современных мультимедийных приложений — таких как [Р- 
телефония, видео- и радиовещание, интерактивное дистанционное обучение ит. п. 


В методах обеспечения качества обслуживания используются различные механизмы, по- 
зволяющие снизить негативные последствия временных перегрузок, возникающих в сетях 
С коммутацией пакетов. Эти механизмы делятся на: 


О средства управления перегрузкой (сопбезиоп тапаретепїі), которые начинают рабо- 
тать, когда сеть уже перегружена; к ним относится управление очередями; 


О средства предотвращения перегрузок (сопрезИоп ауоіапсе), которые, как следует 
из названия, предпринимают превентивные меры для предотвращения перегрузок; 
к такого рода средствам относится кондиционирование трафика, обратная связь, ре- 
зервирование ресурсов и трафик-инжиниринг. 


Очереди являются неотъемлемым атрибутом сетей с коммутацией пакетов. Сам принцип 
работы таких сетей подразумевает наличие буфера во входных и выходных интерфейсах 
коммутирующих устройств. Именно буферизация пакетов во время перегрузок является 
основным механизмом, обеспечивающим высокую производительность сетей этого типа. 


В то же время очереди означают снижение качества обслуживания из-за неопределенности 
задержек и потерь пакетов при передаче данных через сеть из-за переполнения отведенного 
под очередь буфера коммутатора или маршрутизатора. 


Таким образом, операторам пакетных сетей, весьма заинтересованным в передаче пульси- 
рующего трафика, необходимы средства достижения компромисса между как можно более 
высокой загрузкой своей сети и требуемым клиентами качеством обслуживания. 


В методах 905 используется широкий набор механизмов, направленных на снижение 
негативных последствий пребывания пакетов в очередях с сохранением в то же время по- 
ложительной роли очередей. Большинство из них учитывает факт существования в'сети 
трафика различного типа, а именно то, что каждый тип трафика предъявляет разные требо- 
вания к характеристикам производительности и надежности сети. Однако добиться одно- 
временного соблюдения всех характеристик Оо$ для всех видов трафика весьма сложно. 


Одним из наиболее значимых факторов, влияющих на характеристики качества обслужи- 
вания, является уровень загрузки сети трафиком, то есть уровень использования пропускной 
способности линий связи сети. Напомним, что пропускная способность — это характери- 
стика физического канала, которая равна максимально возможной скорости передачи 
информации по этому каналу. 


Пропускную способность сети изменить непросто, поскольку она определяется быстро- 
действием интерфейсов коммуникационного оборудования и качеством линий связи, их 
соединяющих. Повышение пропускной способности сети — это дорогостоящая операция, 
связанная с заменой оборудования, которую операторы сетей проводят не очень часто (как 
правило, раз в несколько лет). 


Если уровень использования пропускной способности постоянно является достаточно 
низким, то трафик всех приложений обслуживается с высоким качеством большую часть 
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времени (хотя кратковременные перегрузки сети, приводящие к задержкам и потерям 
пакетов, все равно возможны, но они случаются редко). Такое состояние сети называется 
«недогруженным» или же используется термин «сеть с избыточной пропускной способ- 
ностью» (англоязычный термин оуегргоу1ѕ1іопіпе). Постоянно поддерживать все части 
сети в недогруженном состоянии весьма дорого, но для наиболее ответственной части сети, 
такой как магистраль, подобный подход применяется и связан с постоянным слежением за 
уровнем загрузки каналов магистрали и обновлением оборудования с более высокой про- 
пускной способностью по мере приближения загрузки к критическому уровню. Методы 
(2058 основаны на другом подходе. 


Идея, лежащая в основе всех методов поддержания характеристик 005, заключается в следую- 
щем: общая производительность каждого ресурса должна делиться между разными классами 
трафика дифференцированно, с учетом специфических требований приложений разного класса. 


Очевидно, что эти методы усложняют сетевые устройства, которые теперь должны «знать» 
требования всех классов трафика, уметь их распознавать и распределять пропускную спо- 
собность сети между ними. Последнее свойство обычно достигается за счет использования 
для каждого выходного интерфейса коммуникационного устройства нескольких очередей 
пакетов вместо одной очереди; при этом в очередях применяют различные алгоритмы 
обслуживания пакетов, чем и достигается дифференцированное обслуживание трафика 
различных классов. Поэтому методы 005 часто ассоциируются с техникой управления 
очередями. 


Помимо собственно техники организации очередей, к методам 005 относят методы контро- 
ля параметров потока трафика, так как для гарантированно качественного обслуживания 
нужно быть уверенными, что обслуживаемые потоки соответствуют набору ограничений, 
определенному для них. Эта группа методов Оо$ получила название методов кондицио- 
нирования трафика. 


Особое место занимают методы обратной связи, которые предназначены для уведомления 
источника трафика о перегрузке сети. Эти методы рассчитаны на то, что при получении 
уведомления источник снизит скорость выдачи пакетов в сеть и тем самым ликвидирует 
причину перегрузки. 


К методам Оо$ тесно примыкают методы инжиниринга трафика. Согласно методам 
инжиниринга трафика маршруты передачи данных управляются таким образом, чтобы 
обеспечить сбалансированную загрузку всех ресурсов сети и исключить за счет этого пере- 
грузку коммуникационных устройств и образование длинных очередей. 


Управление очередями 


Пользователь формулирует свои требования к качеству обслуживания в виде некоторых 
предельных значений характеристик 005$, которые не должны быть превышены — напри- 
мер, он может указать, что предельное значение вариации задержки пакетов не должно 
превышать 50 мс с вероятностью 0,99. Но как заставить сеть справиться с поставленной 
задачей? Какие меры нужно предпринять, чтобы вариации задержек действительно не пре- 
высили эту величину? Для понимания механизмов поддержки Оо полезно исследовать 
процесс образования очередей на сетевых устройствах. В главе 3 (раздел «Буферизация 
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пакетов») мы уже обсудили некоторые причины возникновения очередей в коммутиру- 
ющих устройствах. 


Давайте еще раз обратимся к рис. 3.8, на котором показана простейшая схема коммута- 
тора (маршрутизатора). Центральным элементом устройства является коммутирующий 
блок, который передает данные между тремя своими интерфейсами. Если интенсивности 
входных потоков и производительность коммутирующего блока таковы, что последний 
не всегда успевает обработать поступающие пакеты, то избыточные пакеты помещают 
для ожидания обслуживания во входные очереди (буферы). Когда коммутирующий блок 
освобождается, специальный блок коммутатора — арбитр входных очередей (не показан- 
ный на рисунке), следуя определенному для него правилу, выбирает очередной пакет из 
очереди и направляет его на обработку в коммутирующий блок. Таким правилом может 
быть, например, ЕІЕО «первый пришел — первый ушел» или более сложный алгоритм 
с учетом приоритетов. 


Пакеты, прошедшие обработку в коммутирующем блоке, направляются на один из на- 
значенных для них выходной интерфейс. Из-за случайного характера интервалов между 
пакетами потока и ограниченного значения пропускной способности выходного интерфей- 
са может возникнуть ситуация перегрузки, когда в момент пульсации трафика очередной 
пакет не будет принят выходным интерфейсом на передачу. Следовательно, необходимо 
предусмотреть перед каждым выходным интерфейсом буфер — выходную очередь — для 
сохранения пакетов на время перегрузки. Пакеты выбираются из выходной очереди и на- 
правляются на связанный с ней выходной интерфейс коммутатора в соответствии с пра- 
вилом, которым руководствуется арбитр выходных очередей. 


Размер буфера сетевого устройства определяет максимальную длину очереди ожидающих 
обслуживания пакетов, а если пакет поступает при заполненном буфере, то он просто от- 
брасывается. 


Анализ очередей 


Существует ветвь прикладной математики, предметом которой являются процессы об- 
разования очередей. Эта дисциплина так и называется — теория очередей. Мы не будем 
углубляться в математические основы этой теории, обратив внимание читателей только на 
некоторые ее выводы, существенные для рассматриваемой нами проблемы 005. 


Теория очередей рассматривает временные процессы образования очередей в буфере 
абстрактного устройства, в который поступает случайный поток абстрактных заявок на 
обслуживание. Модели теории очередей позволяют оценить среднюю длину очереди в бу- 
фере и среднее время ожидания заявки в очереди в зависимости от характеристик входного 
потока и времени обслуживания. 


При применении теории очередей к анализу процессов, происходящих в компьютерных 
сетях, заявками на обслуживание являются пакеты данных, а разделяемыми обслужи- 
вающими устройствами — различные программы, сетевые устройства, их выходные ин- 
терфейсы. На рис. 5.10 показана модель одного из выходных интерфейсов коммутатора. 


Показанный на рис. 5.10 входной поток заявок соответствует потоку пакетов между комму- 
тирующим блоком и одним из выходных интерфейсов коммутатора, как это было показано 
ранее на рис. 3.8. Этот поток заявок характеризуется средней интенсивностью №, то есть 
средний интервал между заявками равен Т =1/^. Средняя интенсивность потока заявок 
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Выходной физический интерфейс коммутатора 


Входной поток пакетов Выходной поток пакетов 


Буфер интерфейса 


Входной поток заявок 


Очередь НЕО Обслуживающее 
устройство 


Рис. 5.10. Модель выходного интерфейса коммутатора как разделяемого ресурса 


является аналогом средней скорости трафика, поступающего на выходной интерфейс. 
Заявки направляются к обслуживающему устройству, но если оно занято обслуживани- 
ем другой заявки, то их помещают в очередь, в которой они ждут, пока не освободится 
устройство. Обслуживающее устройство обрабатывает каждую заявку в среднем в течение 
времени р, при этом средняя интенсивность обработки потока заявок составляет р=1 /Р. 
Очевидно, что параметр модели д является аналогом пропускной способности интерфейса. 


Модели теории очередей весьма упрощенно описывают процессы, происходящие в реальных 
устройствах. Тем не менее они полезны для понимания основных факторов, влияющих на 
величину очереди в буфере сетевого устройства или на время пребывания пакета в буфере. 


Одним из таких факторов является коэффициент загрузки (использования) обслуживающего 
устройства. Он равен отношению средней интенсивности \ поступления заявок в устройство 
к средней интенсивности џ обработки заявок обслуживающим устройством: р = А/р. 


В теории массового обслуживания для некоторых типов моделей найдены аналитические 
зависимости, описывающие среднее время нахождения заявки в очереди М в зависимости 
от коэффициента загрузки р. Одна из таких зависимостей, описывающих систему с одной 
очередью, обслуживаемой по принципу ЕІЕО, показана на рис. 5.11. 


Как видно из поведения кривой, коэффициент р играет ключевую роль в образовании 
очереди. Если значение р близко к нулю, то среднее время ожидания тоже очень близко 
к нулю. Это означает, что пакеты почти никогда не ожидают обслуживания в буфере (в мо- 
мент их прихода он оказывается пустым), а сразу передаются на выход. И наоборот, если р 
приближается к 1, то время ожидания растет очень быстро и нелинейно (и в пределе равно 
бесконечности). Такое поведение очереди интуитивно понятно, ведь чем ближе средние 
значения интервалов между пакетами к среднему времени их обслуживания, тем сложнее 
обслуживающему устройству (интерфейсу) справляться с нагрузкой. 
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0,5 1 


Рис. 5.11. Зависимость среднего времени ожидания заявки от коэффициента загрузки ресурса 


Сетевые инженеры хорошо знакомы с видом графика, представленного на рис. 5.12, так как 
он соответствует поведению тех кривых, которые инженеры видят при анализе результатов 
мониторинга задержек и потерь пакетов в реальных сетях, а именно резкому ухудшению 
качества обслуживания при достижении коэффициента использования пропускной спо- 
собности интерфейсов сети некоторого порогового значения. 


В приведенном графике есть и нечто неожиданное. Трудно представить, что обслуживаю- 
щее устройство (сетевой ресурс) практически перестает справляться со своими обязанно- 
стями, когда его коэффициент использования приближается к 1. Ведь в этом случае нагруз- 
ка не превышает его возможностей, а только приближается к этому пределу. Интуитивно не 
очень понятна также причина существования очередей при значениях р в окрестностях 0,5. 
Интенсивность обработки трафика вдвое превышает интенсивность нагрузки, а очереди 
существуют! Такие парадоксальные, на первый взгляд, результаты характерны для систем, 
в которых протекают случайные процессы. Так как во внимание принимаются средние 
значения интенсивностей потоков на больших промежутках времени, то на небольших 
промежутках времени они могут существенно отклоняться от этих значений. 


Существует еще один важный параметр, оказывающий непосредственное влияние на об- 
разование очередей в сетях с коммутацией пакетов. Этим параметром является вариация 
интервалов входного потока пакетов, то есть пульсация входного трафика. На рис. 5.12 
показано семейство зависимостей И от р, полученных для разных значений коэффициента 


СМ 


тах 


СУ 


тіп 


0,5 1 


Рис. 5.12. Влияние степени пульсации потока на задержки 
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вариации СУ интервалов входного потока пакетов. Из рисунка видно, что чем меньше 
пульсирует входной поток (СУ приближается к нулю), тем меньше проявляется эффект 
лавинообразного образования очереди при приближении коэффициента загрузки ресурса 
к 1. И наоборот, чем больше СУ, тем раньше (при меньших значениях р) начинает про- 
являться этот эффект. 


Из поведения графиков на рисунке можно сделать следующий вывод: 


Для уменьшения задержек нужно снижать как коэффициент загрузки ресурса, так и пульсацию 
потока. 


Следует подчеркнуть, что модели теории очередей из-за упрощенного представления про- 
цессов, протекающих в коммуникационных устройствах сети, дают только качественную 
картину зависимостей задержек и потерь пакетов от параметров трафика и производитель- 
ности устройств. Более адекватные результаты могут быть получены путем имитационного 
моделирования, но надежнее всего полагаться на измерение задержек и потерь пакетов 
в реальной сети с помощью соответствующих тестеров и систем. 


Очереди и различные классы трафика 


Посмотрим, как можно применить знания о зависимости поведения очередей от коэффи- 
циента загрузки для реализации основной идеи методов Оо5, а именно дифференциро- 
ванного обслуживания классов трафика с различными требованиями к характеристикам 
производительности и надежности сети. Для простоты будем пока делить все потоки на два 
класса — чувствительный к задержкам (трафик реального времени, например голосовой) 
и эластичный, допускающий большие задержки, но чувствительный к потерям данных. 


Если обеспечить для чувствительного к задержкам трафика коэффициент загрузки каж- 
дого ресурса не более 0,2, то, очевидно, задержки в каждой очереди будут небольшими 
и, скорее всего, приемлемыми для многих типов приложений этого класса. Для эластичного 
трафика, слабо чувствительного к задержкам, можно допустить более высокий коэффици- 
ент загрузки, но не более 0,9. Чтобы пакеты этого класса не терялись, нужно предусмотреть 
для них буферную память, достаточную для хранения всех пакетов периода пульсации. 
Эффект от такого распределения загрузки ресурса иллюстрирует рис. 5.13. 


0,2 0,5 0,9 1 


Рис. 5.13. Обслуживание эластичного и чувствительного к задержкам трафика 
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Задержки чувствительного к задержкам трафика равны @;, а задержки эластичного тра- 
фика — ш.. 


Чтобы добиться различных коэффициентов использования ресурсов для разных классов 
трафика, нужно в каждом коммутаторе для каждого ресурса поддерживать две разные 
очереди. Алгоритм выборки пакетов из очередей должен отдавать предпочтение очереди 
чувствительных к задержкам пакетов. Если бы все пакеты первой очереди обслуживались 
приоритетно, а пакеты второй очереди — только тогда, когда первая очередь пуста, то для 
трафика первой очереди трафик второй очереди фактически перестал бы существовать. По- 
этому если отношение средней интенсивности приоритетного трафика Л! к производитель- 
ности ресурса ц равно 0,2, то и коэффициент загрузки для него равен 0,2. Для эластичного 
трафика, пакеты которого всегда ждут обслуживания приоритетных пакетов, коэффициент 
загрузки подсчитывается по-другому. Если средняя интенсивность эластичного трафика 
равна А, то для него ресурс будет загружен на (А + ^2)/ц. Следовательно, если мы хотим, 
чтобы для эластичного трафика коэффициент загрузки составлял 0,9, то его интенсивность 
должна вычисляться из соотношения А2/ц = 0,7. 


Можно ввести более чем два класса обслуживания и стараться, чтобы каждый класс ра- 
ботал на своей части кривой задержек. Если такая задача решена, то можно обеспечить 
улучшение характеристик Оо5 за счет других методов, например, снижая пульсацию тра- 
фика. Осталось выяснить, каким образом обеспечить такие условия для разных классов 
трафика в каждом узле сети. 


Техника управления очередями 


Управление очередями используется для оптимизации работы устройства в периоды вре- 
менных перегрузок, когда оно не справляется с передачей пакетов на выходной интерфейс 
в том темпе, в котором они поступают. Алгоритмы управления очередями не предотвраща- 
ют перегрузок, а лишь некоторым «справедливым» образом в условиях дефицита перерас- 
пределяют ресурсы между различными потоками или классами трафика. 


Очередь РЕО 


В очереди ЕТЕО (Еігѕї Іп — Еігѕе Ои) в случае перегрузки все пакеты помещаются в одну 
общую очередь и выбираются из нее в том порядке, в котором поступили, то есть в соот- 
ветствии с принципом «первый пришел — первый ушел». Во всех устройствах с коммута- 
цией пакетов алгоритм ЕІЕО используется по умолчанию. Достоинствами этого подхода 
являются простота реализации и отсутствие потребности в конфигурировании. Однако ему 
присущ и коренной недостаток — невозможность дифферениированной обработки пакетов 
различных потоков. Все пакеты стоят в общей очереди на равных основаниях. Одинаково 
обслуживаются как пакеты чувствительного к задержкам голосового трафика, так и не- 
чувствительного к задержкам, но очень интенсивного трафика резервного копирования, 
длительные пульсации которого могут надолго задержать голосовой пакет. 


Приоритетное обслуживание 


Очереди с приоритетным обслуживанием очень популярны во многих областях вычис- 
лительной техники, в частности, в операционных системах, когда одним приложениям 
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нужно отдать предпочтение перед другими при обработке их в мультипрограммной смеси. 
Применяются эти очереди и для преимущественной обработки некоторого класса трафика. 
Механизм приоритетного обслуживания основан на разделении всего сетевого трафика на 
небольшое количество классов и последующего назначения каждому классу некоторого 
числового признака — приоритета. 


Приоритет — это число, характеризующее степень привилегированности того или иного 
класса трафика при использовании того или иного сетевого ресурса. Чем выше приоритет, 
тем меньше времени будут проводить пакеты данного класса в очередях к данному ресурсу. 


Классификация трафика представляет собой отдельную задачу. Пакеты могут разбиваться 
на приоритетные классы на основании различных признаков: адрес назначения, адрес ис- 
точника, идентификатор приложения, генерирующего этот трафик, а равно и любые другие 
комбинации признаков, которые содержатся в заголовках пакетов. Правила классификации 
пакетов отражают политику администрирования сети. Средства, выполняющие класси- 
фикацию, — классификаторы — могут быть частью сетевых устройств. Масштабируемое 
решение — размещение механизмов классификации только в устройствах, расположенных 
на границе сети (например, в коммутаторах корпоративной сети, к которым подключаются 
компьютеры пользователей, или во входных маршрутизаторах сети поставщика услуг). 
Приоритеты могут также назначаться приложением на узле-отправителе. 


Назначенный приоритет заносится в специальное поле заголовка пакета, после чего им 
могут воспользоваться остальные сетевые устройства, обрабатывающие трафик после 
классифицирующего устройства. Если в сети отсутствует централизованная политика на- 
значения приоритетов, то каждое сетевое устройство может не согласиться с приоритетом, 
назначенным данному пакету в другой точке сети. В этом случае оно перепишет значение 
приоритета в соответствии со своей локальной политикой. 


В сетевом устройстве, поддерживающем приоритетное обслуживание, имеется несколько 
очередей — по одной для каждого приоритетного класса. Пакет, поступивший в период 
перегрузки, помещается в очередь, соответствующую его приоритетному классу!. На 
рис. 5.14 приведен пример использования четырех приоритетных очередей с высоким, 
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Рис. 5.14. Приоритетные очереди 


1 Иногда несколько очередей изображают в виде одной очереди, в которой находятся заявки различ- 
ных классов. Если заявки выбираются из очереди в соответствии с их приоритетами, то это просто 
другое представление одного и того же механизма. 
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средним, нормальным и низким приоритетами. До тех пор пока из более приоритетной 
очереди не будут выбраны все имеющиеся в ней пакеты, устройство не переходит к обра- 
ботке следующей, менее приоритетной очереди. Поэтому пакеты с низким приоритетом 
обрабатываются только тогда, когда пустеют все вышестоящие очереди. 


Обычно по умолчанию всем приоритетным очередям отводятся буферы одинакового раз- 
мера, но многие устройства разрешают администратору назначать каждой очереди буфер 
индивидуального размера. В идеальном случае размер буфера определяется таким, чтобы 
его хватало с некоторым запасом для хранения очереди среднестатистической длины. 
Однако поскольку определить это значение сложно, администраторы сети часто руко- 
водствуются следующим соображением: чем выше значимость трафика для предприятия, 
чем больше его интенсивность и пульсации, тем больший размер буфера требуется этому 
трафику. В примере, приведенном на рис. 5.14, для трафика высшего и нормального прио- 
ритетов выбраны большие размеры буферов, а для остальных двух классов — меньшие. Мо- 
тивы принятого решения для высшего приоритета очевидны, а для трафика нормального 
приоритета, возможно, были приняты во внимание высокая интенсивность и значительный 
коэффициент пульсаций. 


Приоритетное обслуживание очередей обеспечивает высокое качество обслуживания для 
пакетов из самой приоритетной очереди. Если средняя интенсивность их поступления не 
превосходит пропускной способности устройства, то пакеты высшего приоритета всегда 
получают ту пропускную способность, которая им нужна. Время ожидания высокоприори- 
тетных пакетов в очереди также минимально. Однако оно не нулевое — чем выше пульсации 
потока и его интенсивность, тем вероятнее возникновение очереди, образованной «свои- 
ми» же высокоприоритетными пакетами. Трафик всех остальных приоритетных классов 
почти прозрачен для пакетов высшего приоритета. Слово «почти» относится к ситуации, 
когда высокоприоритетный пакет вынужден ждать завершения обслуживания низкоприо- 
ритетного пакета. 


Что же касается остальных приоритетных классов, то качество их обслуживания будет 
ниже, чем у пакетов самого высокого приоритета, причем уровень снижения может быть 
очень существенным. Если коэффициент нагрузки выходного интерфейса, определяемый 
только трафиком высшего приоритетного класса, приближается в какой-то период времени 
к единице, то трафик остальных классов на это время просто замораживается. Поэтому 
приоритетное обслуживание обычно применяется для чувствительного к задержкам 
класса трафика, имеющего небольшую интенсивность. При таких условиях обслужива- 
ние этого класса не слишком ущемляет обслуживание остального трафика. Например, 
голосовой трафик чувствителен к задержкам, но его интенсивность обычно не превышает 
8—16 Кбит/с, так что при назначении ему высшего приоритета ущерб остальным классам 
трафика оказывается не очень значительным. 


Взвешенные очереди 


Механизм взвешенных очередей разработан для того, чтобы можно было предоставить 
всем классам трафика определенный минимум пропускной способности. Под весом дан- 
ного класса понимается доля предоставляемой классу трафика пропускной способности 
от полной пропускной способности выходного интерфейса. 


При взвешенном обслуживании так же, как и при приоритетном, трафик делится на не- 
сколько классов, для каждого из которых ведется отдельная очередь пакетов. Но с каждой 
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очередью связывается не приоритет, а доля пропускной способности ресурса, гарантируе- 
мая данному классу трафика при перегрузках этого ресурса. Для входного потока коммута- 
тора таким ресурсом является коммутационный блок, а для выходного (после выполнения 
коммутации) — выходной интерфейс. 


Поясним данный алгоритм управления очередями на примере. Показанное на рис. 5.15 
устройство поддерживает для пяти классов трафика пять очередей к выходному интер- 
фейсу коммутатора. Этим очередям при перегрузках выделяется соответственно 10, 10, 
30, 20 и 30 % пропускной способности выходного интерфейса. 


Очереди разного веса 
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Рис. 5.15. Взвешенные очереди 


Достигается поставленная цель за счет того, что очереди обслуживаются последовательно 
и циклически, причем в каждом цикле обслуживания из каждой очереди выбирается такое 
число байтов, которое соответствует весу данной очереди. Так, если цикл просмотра оче- 
редей в рассматриваемом примере равен одной секунде, а скорость выходного интерфейса 
составляет 1000 Мбит/с, то при перегрузках в каждом цикле первой очереди уделяется 
10 % времени, то есть 0,1 секунды, в течение которой выбирается 100 Мбит данных. Ана- 
логично, из второй — тоже 100 Мбит, из третьей — 300 Мбит, из четвертой — 200 Мбит, из 
пятой — 300 Мбит. 


В результате каждому классу трафика достается гарантированный минимум пропускной спо- 
собности, что во многих случаях является более желательным результатом, чем подавление 
низкоприоритетных классов высокоприоритетными. 


Так как данные выбираются из очереди пакетами, а не битами, то реальное распределение 
пропускной способности между классами трафика всегда немного отличается от плани- 
руемого. Так, в предыдущем примере вместо 10 % первый класс трафика мог бы получать 
при перегрузках 9 или 12 %. Чем больше время цикла, тем точнее соблюдаются требуемые 
пропорции между классами трафика, так как из каждой очереди выбирается большее число 
пакетов, при этом влияние размера каждого пакета усредняется. 


В то же время длительный цикл приводит к большим задержкам передачи пакетов. Так, 
при выбранном нами для примера цикле в одну секунду задержка может составить одну 
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и более секунд — ведь арбитр возвращается к каждой очереди не чаще, чем раз в секунду, 
кроме того, за один раз из очереди могут быть выбраны не все пакеты. Поэтому при вы- 
боре времени цикла нужно обеспечить баланс между точностью соблюдения пропорций 
пропускной способности и стремлением к снижению задержки. 


Для нашего примера более сбалансированным выглядит время цикла в 1-6 секунды, или 
1000 мкс. С одной стороны, такое время гарантирует более низкий уровень задержек, так 
как очереди просматриваются намного чаще, чем при секундном цикле. С другой стороны, 
этого времени достаточно, чтобы выбрать из каждой очереди в среднем по несколько паке- 
тов (первой очереди в нашем примере будет отводиться 100 мкс, что достаточно, например, 
для передачи в выходной канал десяти пакетов Сірађі Есћегпеё). 


На уровень задержек пакетов, их вариации для некоторого класса трафика при взвешенном 
обслуживании в значительной степени влияет относительный коэффициент загрузки. 
В этом случае коэффициент подсчитывается как отношение интенсивности входного 
трафика некоторого класса к пропускной способности, выделенной этому классу в соответ- 
ствии с его весом. Например, если в интерфейсе с пропускной способностью 1000 Мбит/с 
для некоторого потока выделено 10 %, то есть 100 Мбит/с, а средняя интенсивность по- 
тока, который попадает в эту очередь, равна 30 Мбит/с, то относительный коэффициент 
загрузки для этого потока составит 30/100 = 0,3. Качественное поведение очереди и, со- 
ответственно, задержек здесь выглядит примерно так же, как и для очереди ЕІЕО — чем 
меньше коэффициент загрузки, тем меньше средняя длина очереди и тем меньше задержки. 


Еще одним вариантом взвешенного обслуживания является взвешенное справедливое 
обслуживание (\/е1=щед Еаіг Опешир, МЕО). В случае подобного обслуживания пропуск- 
ная способность ресурса делится между всеми потоками поровну, то есть «справедливо». 


Взвешенное обслуживание обеспечивает требуемые соотношения между интенсивностями 
трафика различных очередей только в периоды перегрузок, когда каждая очередь посто- 
янно заполнена. Если же какая-нибудь из очередей пуста (то есть для трафика данного 
класса текущий период не является периодом перегрузки), то при просмотре очередей 
она игнорируется, а ее время обслуживания распределяется между остальными очередями 
в соответствии с их весом. 


Комбинированные алгоритмы обслуживания очередей 


Каждый из описанных подходов имеет свои достоинства и недостатки. Приоритетное 
обслуживание, обеспечивая минимальный уровень задержек для очереди наивысшего 
приоритета, не дает никаких гарантий в отношении средней пропускной способности для 
трафика очередей более низких приоритетов. Взвешенное обслуживание обеспечивает 
заданное распределение средней пропускной способности, но не гарантирует выполнение 
требований к задержкам. 


Существуют комбинированные алгоритмы обслуживания очередей. Например, в одном 
из алгоритмов подобного рода поддерживается одна приоритетная очередь, а остальные 
очереди обслуживаются в соответствии со взвешенным алгоритмом. Обычно приоритет- 
ная очередь используется для чувствительного к задержкам трафика, а остальные — для 
эластичного трафика нескольких классов. Каждый класс эластичного трафика получает 
некоторый минимум пропускной способности при перегрузках. Этот минимум вычис- 
ляется как процент от пропускной способности, оставшейся от приоритетного трафика. 
Очевидно, что нужно как-то ограничить приоритетный трафик, чтобы он не поглощал всю 
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пропускную способность ресурса. Обычно для этого применяются механизмы кондицио- 
нирования трафика, которые рассматриваются далее. 


Механизмы кондиционирования трафика 


Как мы помним, основной идеей методов (005 является выделение определенной доли 
пропускной способности определенным потокам трафика, при этом величина полученной 
потоком доли должна быть достаточной для того, чтобы качество обслуживания потока 
было удовлетворительным. Очереди с различными алгоритмами обслуживания позволяют 
реализовать только одну часть этой идеи — они выделяют определенную долю пропускной 
способности некоторому потоку пакетов. Однако если интенсивность входного потока 
по какой-то причине в некоторые периоды времени будет превышать выделенную ему 
пропускную способность, например, в виде пульсаций, то требуемые параметры качества 
обслуживания этого потока (уровни задержки, доля потерянных пакетов и др.) не будут 
обеспечены. 


Во избежание этого рекомендуется применять механизмы кондиционирования трафика, 
включающие: 


О классификацию; 
О профилирование; 
О сглаживание трафика. 


Мы уже имели дело с классификацией трафика при изучении приоритетных и взвешен- 
ных очередей, когда предполагали наличие некоего механизма, решающего, какие пакеты 
нужно отправить в ту или иную очередь. В случае кондиционирования механизмы клас- 
сификации потоков решают более общую задачу — они выполняют динамический анализ 
проходящих в сети потоков с целью отнесения их к тому или иному классу, каждый из кото- 
рых должен обслуживаться сетью специфическим образом. К примеру, один класс потоков 
должен обслуживаться так, чтобы минимизировать потери пакетов, другой — минимизи- 
ровать задержку, третий — вариацию задержки, а четвертому нужна гарантия пропускной 
способности. Для подобной классификации используются различные признаки пакетов, 
например, адреса назначения и источника, тип протокола транспортного или прикладного 
уровня. Для каждого из классов в общем случае применяются разные методы Оо5$. 


Профилирование (ро!ст5) представляет собой меру принудительного воздействия на тра- 
фик, направленного на ограничение скорости потока пакетов. Цель профилирования — до- 
биться соответствия потока пакетов заданному скоростному профилю — набору заданных 
параметров потока. В качестве основного параметра обычно выступает средняя скорость 
потока пакетов, измеренная на определенном интервале времени!. Профилированный 
поток должен хорошо «укладываться» в выделенную для него пропускную способность. 


При условии, что физическое оборудование сети остается неизменным, скорость потока 
пакетов можно уменьшить лишь двумя способами: либо заставить приложение-источник 
уменьшить интенсивность генерации пакетов (подавление источника), либо «проредить» 
поток. Последнюю операцию можно выполнить двумя путями: либо отбрасывать неко- 


і Применяются и более сложные варианты профилирования, например, учитывающие среднюю 
и пиковые скорости на нескольких временных отрезках. 
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торые пакеты из потока, либо задерживать их на некоторое время в буфере. Отбрасыва- 
ние и буферирование пакетов составляют суть методов профилирования и сглаживания 
трафика соответственно, которые мы и рассматриваем здесь (о подавлении источника 
см. в разделе «Обратная связь для предотвращения перегрузок»). 


Рисунок 5.16 иллюстрирует действие механизма профилирования, показывая значения 
скорости трафика, измеренные на достаточно малых интервалах времени до и после профи- 
лирования. Как видно из рисунка, исходный поток имеет много пиков, которые выходят за 
границу определенной для данного потока пропускной способности. При профилировании 
часть пакетов, формирующих эти пульсации, отбрасывается, что приводит к удержанию 
скорости потока на заданном уровне на интервалах пульсаций и к сохранению исходной 
скорости в остальные периоды. 


Трафик, кондиционированный таким образом, не будет нарушать расчетную, плановую за- 


грузку сети. Однако для некоторых типов трафика отбрасывание пакетов может оказаться 
критичным. 


Скорость 


Пропускная 
способность 
интерфейса 


Предел скорости 


Время 


ЕЕ — трафик перед профилированием 
ММҸ — трафик после профилирования 


Рис. 5.16. Эффект профилирования — отбрасывание избыточного трафика 


Профилирование чаще всего применяют для ограничения трафика, поступающего в прио- 
ритетную очередь, так как только такими средствами можно предотвратить вытеснение 
всего остального трафика приоритетным трафиком. 


Сглаживание трафика (ѕһћаріпұе) в каком-то смысле подобно профилированию, так как оно 
имеет схожую цель — приведение параметров потока к заданному скоростному профилю. 
Однако достигается эта цель другим способом. Вместо того чтобы отбрасывать избыточные 
пакеты, то есть те, передача которых могла бы привести к превышению лимита скорости, 
механизм сглаживания трафика задерживает пакеты-нарушители в специальном буфере 
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так, что результирующая скорость потока оказывается в заданных пределах. Пакеты могут 
также деквалифицироваться, то есть перемещаться в класс обслуживания с более низки- 


ми привилегиями, например, переводятся из приоритетного класса в стандартный класс, 
обслуживаемый «по возможности». 


Эффект сглаживания трафика иллюстрирует рис. 5.17. График скорости сглаживается за 
счет «срезания» выступов и заполнения впадин путем задержки пакетов, выходящих за 
уровень предельной скорости, и перемещения их в другие интервалы времени, в которых 
скорость оказывается меньше установленного предела. Как видим, формирование трафика 
является более «щадящим» механизмом кондиционирования — пакеты задерживают, но 


не отбрасывают. 
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13 — трафик перед формированием 
МҸ — трафик после профилирования 


Время 


Рис. 5.17. Эффект сглаживания трафика 


И профилирование и сглаживание устраняют скоростные выступы, снижая пиковую 
скорость кондиционируемого потока. Однако они по-разному воздействуют на его сред- 
нюю скорость. Очевидно, что из-за отбрасывания пакетов в результате профилирования 
средняя скорость снижается. А что происходит со скоростью во время сглаживания? 
Поскольку в этом случае пакеты, образующие пульсацию, задерживаются в буфере 


временно, а не исключаются из потока навсегда, то в результате сглаживания средняя 
скорость не меняєтся. 


Обычно профилирование трафика выполняется маршрутизатором провайдера, принима- 
ющим трафик от сети пользователя. Это делается для защиты сети от пользовательского 
трафика, выходящего за пределы параметров, оговоренных в соглашении провайдера 


и клиента. К тому же, если такое профилирование не делать, то от перегрузок сети по- 
страдают все ее пользователи. 
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Сглаживание трафика считается делом самих пользователей, его должен выполнять по- 
граничный маршрутизатор пользователя, посылающий данные в сеть провайдера. Если 
профиль, задаваемый для сглаживания трафика, совпадает с профилем последующего 
профилирования, то это гарантирует отсутствие потерь трафика из-за отбрасывания из- 
быточных пакетов. 


Известным алгоритмом, используемым как для сглаживания, так и для профилирования 
трафика, является алгоритм ведра маркеров. 


($) Алгоритм ведра маркеров 


Обратная связь для предотвращения 
перегрузок 


Механизмы предотвращения перегрузок основаны на использовании обратной связи, с по- 
мощью которой перегруженный узел сети, реагируя на перегрузку, просит предыдущие 
узлы, расположенные вдоль маршрута следования потока (или потоков, принадлежащих 
к одному классу), временно снизить скорость трафика. После того как перегрузка в данном 
узле исчезнет, он посылает сообщение, разрешающее повысить скорость передачи данных. 


Существуют несколько видов обратной связи (рис. 5.18). Они отличаются информацией, 
которая передается по обратной связи, а также тем, какой тип узла генерирует эту инфор- 
мацию и кто реагирует на эту информацию — конечный узел (компьютер) или промежу- 
точный (коммутатор или маршрутизатор). 


Обратная связь 1 


Обь а. Р д 
атлар “Обратная связь 


Рис. 5.18. Участники обратной связи 


Обратная связь 1 организована между двумя конечными узлами сети. Сообщение о пере- 
грузке порождается узлом-получателем и передается узлу-источнику. Этот вариант, име- 
ющий специальное название — контроль потока, обеспечивает наиболее радикальное сни- 
жение нагрузки на сеть, так как только узел-источник может снизить скорость поступления 
информации в сеть. Целью этого вида обратной связи является борьба с перегрузками узла 
назначения, а не с перегрузками промежуточных сетевых устройств. Устройства сети не 
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принимают участие в работе этого вида механизма обратной связи, они только передают 
соответствующие служебные сообщения между конечными узлами. Время передачи этих 
сообщений по сети влияет на эффективность обратной связи. 


Так, в высокоскоростных глобальных сетях за время, которое тратится на передачу сообще- 
ния о перегрузке узла назначения, узел-источник может успеть направить в сеть тысячи 
пакетов, из-за чего перегрузка не будет ликвидирована вовремя. Из теории автоматиче- 
ского управления известно, что задержки в контуре обратной связи могут приводить ко 
многим нежелательным эффектам, прямо противоположным первоначальным целям. 
Например, в системе могут начаться колебательные процессы, и она никогда не сможет 
прийти в равновесное состояние. Подобные явления наблюдались на ранней стадии разви- 
тия Интернета, когда из-за несовершенства алгоритмов обратной связи и маршрутизации 
в нем возникали участки перегрузок, которые периодически перемещались по сети. При- 
чина такой проблемы интуитивно понятна — задержка в контуре обратной связи приво- 
дит к тому, что регулирующий элемент получает устаревшую информацию о состоянии 
регулируемого элемента. Поэтому возможны ситуации, когда узел-источник начинает 
снижать скорость передачи информации, хотя в действительности в узле-получателе уже 
нет очередей, и наоборот, повышать скорость передачи информации в тот момент, когда 
узел-получатель начал испытывать перегрузку. Для борьбы с такими явлениями в контур 
обратной связи обычно вводится интегрирующий элемент, который на каждом шаге об- 
рабатывает не только текущее сообщение обратной связи, но и несколько предыдущих 
сообщений, что позволяет учесть динамику изменения ситуации и реагировать адекватно. 


Обратная связь 2 организована между двумя соседними коммутаторами. Коммутатор со- 
общает соседу, находящемуся выше по течению потока, что он испытывает перегрузку и его 
буфер заполнился до критической величины. Получив такое сообщение, сосед, располо- 
женный выше по течению, должен снизить на некоторое время скорость передачи данных 
в направлении перегруженного коммутатора и тем самым решить проблему перегрузки. 
Это — менее эффективное для сети в целом решение, так как поток будет продолжать течь 
от узла-источника с той же скоростью, что и раньше. Однако для коммутатора, который 
испытывает перегрузку, это является хорошим выходом, так как он получает время, чтобы 
разгрузить переполнившуюся очередь. При этом проблема переносится в коммутатор, рас- 
положенный выше по течению, в котором теперь может возникнуть перегрузка, так как он 
начинает передавать данные из своего буфера с меньшей скоростью. Достоинством описан- 
ного метода является снижение задержки обратной связи, так как узлы являются соседями. 


Обратная связь 3 организована между некоторым промежуточным коммутатором и узлом- 
источником; коммутатор посылает узлу-источнику сообщение о том, что он испытывает 
перегрузку, и просит его снизить интенсивность выходящего трафика. Все остальные 
промежуточные коммутаторы, лежащие между этими двумя узлами, только передают 
сообщения обратной связи в направлении к узлу-источнику, никак на них не реагируя. 


В обратной связи 4, как и в обратной связи 1, сообщение о перегрузке генерируется узлом- 
получателем и передается узлу-источнику. Однако в данном случае каждый промежуточ- 
ный коммутатор реагирует на это сообщение. Во-первых, он снижает скорость передачи 
данных в направлении узла назначения, во-вторых, он может изменить содержание сообще- 
ния. Например, если узел назначения просит снизить скорость до 300 Мбит/с, то промежу- 
точный коммутатор может снизить эту величину до 200 Мбит/с, оценив состояние своего 
буфера. Кроме того, сгенерировать сообщение обратной связи может любой коммутатор 
сети, а не только узел назначения. 
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При описании различных вариантов организации обратной связи мы подразумевали, что 
сообщение о перегрузке идет в направлении, обратном направлению передачи пользова- 
тельской информации (отсюда и название механизма). Однако некоторые коммуника- 
ционные протоколы не предусматривают возможности генерации подобных сообщений 
промежуточными узлами. В таких условиях часто применяют искусственный прием — 
передачу сообщения о перегрузке узлу назначения, который преобразует его в сообщение 
обратной связи и отправляет в нужном направлении, то есть в направлении источника. 
Этот вариант показан на рисунке как обратная связь 5. 


В применяемых сегодня методах обратной связи используются следующие основные типы 
сообщений о перегрузке: 


О признак перегрузки; 
0 максимальная разрешенная скорость передачи; 
О максимальный разрешенный объем данных; 


0 косвенные признаки перегрузки. 


Признак перегрузки не говорит о степени перегруженности сети или узла, он только фик- 
сирует факт наличия перегрузки. Реакция узла, получившего такое сообщение, может быть 
разной. В некоторых протоколах узел обязан прекратить передачу информации в опреде- 
ленном направлении, до тех пор пока не будет получено другое сообщение обратной связи, 
разрешающее продолжение передачи. В других протоколах узел ведет себя адаптивно, 
снижая скорость на некоторую величину и ожидая реакции сети. Если сообщения с при- 
знаком перегрузки продолжают поступать, то он продолжает снижение скорости. 


Во втором типе сообщений указывается максимальная скорость передачи, то есть порог 
скорости, который должен соблюдать источник или промежуточный узел, расположенный 
выше по течению потока. В этом случае обязательно нужно учитывать время передачи со- 
общения по сети, чтобы исключить колебательные процессы в сети и обеспечить нужную 
скорость реакции на перегрузку. Поэтому в территориальных сетях такой способ обычно 
реализуется силами всех коммутаторов сети (обратная связь 4 в нашем примере). 


Сообщение о максимальном объеме данных используется в широко применяемом в пакет- 
ных сетях алгоритме скользящего окна (подробнее о нем рассказывается в главе 14). Этот 
алгоритм позволяет не только обеспечивать надежную передачу данных, но и реализовать 
обратную связь для контроля потока между конечными узлами. Параметром, несущим ин- 
формацию обратной связи, является «окно» — число, тесно связанное с текущим размером 
свободного пространства в буфере принимающего узла. Передающему узлу разрешено 
с любой скоростью передать объем информации, равный определенному для него окну. Но 
если этот лимит исчерпан, то передающий узел не имеет права передавать информацию, 
пока не получит следующее окно. При перегрузках принимающий узел уменьшает размер 
окна, тем самым снижая нагрузку. Если эффект перегрузки исчезает, то принимающий 
узел увеличивает размер окна. Недостатком этого алгоритма является то, что он работает 
только в протоколах с установлением соединения. 


В некоторых случаях передающий узел определяет, что принимающий узел (или узлы) 
испытывает перегрузку, по некоторым косвенным признакам, без получения сообщения 
обратной связи. Такими косвенными признаками могут быть факты потери пакетов. При- 


мером протокола, использующего неявную информацию о перегрузках, является протокол 
ТОВ 
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Резервирование ресурсов 


Рассмотренные методы поддержания качества обслуживания ориентированы в основном 
на борьбу с перегрузками или предотвращение их в пределах отдельного узла сети. Вместе 
с тем понятно, что для поддержания гарантированного уровня качества обслуживания не- 
которого потока пакетов необходимо скоординированное применение этих методов на всем 
пути следования потока через сеть. 


Резервирование ресурсов — это координирующая процедура, которая настраивает механизмы 
поддержания качества обслуживания вдоль следования потока таким образом, чтобы поток с не- 
которыми заданными характеристиками скорости был обслужен с заданными характеристиками 
005 — задержками, потерями пакетов и др. 


Основная идея процедуры резервирования ресурсов состоит в следующем. Перед тем 
как реальный поток данных будет направлен в сеть, каждому узлу сети вдоль маршрута 
его следования задается вопрос, может ли этот узел обслужить некоторый новый по- 
ток с заданными характеристиками 005, если известны предельные характеристики 
скорости потока: средняя и пиковая скорости? Каждый узел при ответе на этот вопрос 
должен оценить свои возможности, то есть проверить, достаточно ли у него свободных 
ресурсов, чтобы принять на обслуживание новый поток и обслуживать его качествен- 
но. При положительном ответе узел должен некоторым образом зарезервировать часть 
своих ресурсов для данного потока, чтобы при поступлении пакетов потока на входные 
интерфейсы использовать эти ресурсы для обслуживания поступающих пакетов с гаран- 
тированным уровнем качества. 


В общем случае каждый узел самостоятельно решает, какие ресурсы он должен зарезер- 
вировать для обслуживания некоторого потока с заданным качеством. Как показывает 
практика, основным ресурсом, требуемым для качественного обслуживания пакетов, 
является пропускная способность интерфейса, через который пакеты потока покидают 
узел. Поэтому в дальнейшем мы будем, несколько упрощая действительное положение 
дел, употреблять формулировку «резервирование пропускной способности» вместо «ре- 
зервирование ресурсов». 


Однако что же означает резервирование пропускной способности в сетях с коммутацией 
пакетов? Мы сталкивались с этой концепцией только при рассмотрении принципов функ- 
ционирования сетей с коммутацией каналов. Действительно, для сетей с коммутацией 
пакетов механизм резервирования пропускной способности не является принципиально 
необходимым, он имеет вспомогательное значение и используется только в тех случаях, 
когда требуется обеспечение заданного качества обслуживания пакетов. 


Процедура резервирования здесь подобна аналогичной процедуре в сетях с коммутацией 
каналов: определенному потоку данных назначается определенная часть пропускной 
способности линии связи. Однако в сетях с коммутацией пакетов эта процедура является 
более гибкой, то есть если отведенная пропускная способность в какой-то период времени 
недоиспользуется потоком, то она может быть передана другим потокам. Еще одним от- 
личием резервирования в пакетных сетях является то обстоятельство, что резервирование 
может выполняться не только «из конца в конец», но и для каких-то отдельных узлов по 
маршруту потока. 
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Процедура резервирования 
пропускной способности 


Резервирование пропускной способности в пакетной сети «из конца в конец» начинается 
с операции, называемой контролем допуска в сеть потока, который просит зарезервиро- 
вать для своего обслуживания некоторую пропускную способность сети между ее двумя 
конечными узлами. 


Контроль допуска в сеть (аатіѕѕіоп сопїго!) состоит в проверке наличия доступной, то есть 
незарезервированной для других потоков пропускной способности на каждом из узлов сети на 
протяжении всего маршрута следования потока. 


Контроль допуска может выполняться с помощью специального протокола, который пере- 
дает по сети сообщение о запросе необходимой пропускной способности вдоль маршрута, 
по которому затем должны будут передаваться данные потока. Каждое коммуникационное 
устройство, приняв такое сообщение, должно решить, достаточно ли у него свободной (но 
еще не зарезервированной) пропускной способности, чтобы выделить новому потоку за- 
прашиваемую величину. Отметим, что выполнение этой процедуры возможно и без такого 
протокола, если внешняя централизованная система или же администратор сети ведут учет 
и принимают решение о выделяемой пропускной способности. 


Очевидно, что средняя скорость потока должна быть меньше, чем запрашиваемая пропуск- 
ная способность, иначе поток будет обслужен с очень плохим качеством, даже несмотря на 
то, что ему была зарезервирована некоторая пропускная способность. В некоторых случаях 
при резервировании учитываются и пиковые скорости потока. 


Если результат контроля допуска положителен в каждом узле (рис. 5.19), то сетевые 
устройства запоминают факт резервирования, чтобы при появлении пакетов данного пото- 
ка распознать их и выделить им зарезервированную пропускную способность. Кроме того, 
при успешном резервировании доступная для резервирования (в будущем) пропускная 
способность уменьшается на величину, зарезервированную за данным потоком. 


Теперь посмотрим, каким образом выполняется выделение пропускной способности по- 
току в моменты времени, когда его пакеты поступают на вход коммуникационного устрой- 
ства 52, которое запомнило факт резервирования пропускной способности для потока Ё1 
на выходном интерфейсе Р2 (рис. 5.20). 


Такое выделение пропускной способности можно обеспечить разными способами, в том 
числе и с использованием взвешенных очередей. Пусть потоку Ё1 при резервировании 
было выделено 25 % пропускной способности интерфейса Р2. Будем считать, что резер- 
вирование было выполнено только для потока Ё1, а для других потоков, которые проходят 
через выходной интерфейс Р2, резервирование не производилось. 


Чтобы добиться желаемого результата, достаточно организовать для выходного ин- 
терфейса две взвешенные очереди — очередь для потока Ё с весом 25 % и очередь «по 
умолчанию» для всех остальных потоков. Кроме того, необходимо активизировать клас- 
сификатор, который будет проверять пакеты на всех входных интерфейсах устройства 
52 (на рис. 6.14 показан только один входной интерфейс Р1), отбирать пакеты потока Ё1 
по заданным при резервировании признакам и направлять их в очередь для потока Хі. 
В те периоды времени, когда скорость потока Ё1 окажется меньше зарезервированной 
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пропускной способности в 25 %, неиспользованная ее часть будет потребляться потока- 
ми из очереди «по умолчанию» — в силу алгоритма работы взвешенных очередей. Зато 
в периоды, когда скорость потока Ё1 достигнет заявленного максимума потребления 
пропускной способности в 25 %, все остальные потоки будут довольствоваться остав- 
шимися 75 %. 


В описанном примере не задействован механизм профилирования трафика. При наличии 
отдельной взвешенной очереди для потока, зарезервировавшего пропускную способность, 
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Рис. 5.19. Контроль допуска потока 
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Рис. 5.20. Выделение зарезервированной пропускной способности 
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этот механизм не является обязательным, так как сам механизм взвешенных очередей 
ограничит пропускную способность потока в нужных пределах в периоды перегрузок, 
когда все взвешенные очереди заполняются полностью. 


Для той же цели можно задействовать приоритетные очереди. Применение приоритетной 
очереди может оказаться необходимым, если потоку, помимо определенного уровня про- 
пускной способности, требуется обеспечить и минимально возможный уровень задержек 
пакетов. При использовании приоритетной очереди профилирование необходимо всегда, 
так как приоритетный механизм не обеспечивает ограничения скорости потока, что может 
позволить приоритетному потоку захватить весь ресурс. 


Нужно подчеркнуть, что резервирование приводит к ожидаемым результатам только 
в тех случаях, когда реальная средняя скорость потоков, для которых было выполнено 
резервирование, оказывается не выше, чем пропускная способность, запрошенная при 
резервировании и реализованная при конфигурировании сетевых устройств. В противном 
случае результаты могут оказаться даже хуже, чем при наличии единственной очереди «по 
умолчанию» и обслуживании «по возможности». Так, если скорость потока окажется выше, 
чем предел, учитываемый механизмом профилирования, то часть пакетов будет отброшена 
даже в том случае, если устройство не перегружено и могло бы отлично справиться с пред- 
ложенным трафиком без применения механизмов Оо5. 


Обеспечение заданного уровня задержек 


При описании процедуры резервирования пропускной способности мы сфокусировались 
на механизмах выделения пропускной способности некоторому потоку и оставили без 
внимания один важный вопрос: какую пропускную способность должен запрашивать поток 
для того, чтобы задержки его пакетов не превышали некоторой величины? Единственное 
соображение, которое было высказано по этому поводу, заключалось в том, что запраши- 
ваемая пропускная способность должна быть выше, чем средняя скорость потока, иначе 
значительная часть пакетов просто может постоянно отбрасываться сетью, так что качество 
обслуживания окажется гарантированно низким. 


Этот вопрос на самом деле оборачивается сложной проблемой, так как мы не можем, напри- 
мер, сконфигурировать очередь приоритетного или взвешенного обслуживания так, чтобы 
она строго обеспечила какой-либо заранее заданный порог задержек и их вариации. На- 
правление пакетов в приеритетную очередь только позволяет гарантировать, что задержки 
будут достаточно низкими — существенно ниже, чем у пакетов, которые обрабатываются 
в очереди по умолчанию. Мы также знаем, что при наличии взвешенных очередей задержки 
будут снижаться со снижением относительного коэффициента использования пропускной 
способности, отведенной очереди. Все сказанное относится к качественным характеристи- 
кам задержек, а вот количественно оценить их значение очень сложно. 


Каким же образом поставщик услуг может выполнить свои обязательства перед клиента- 
ми? Очень «просто» — он должен постоянно измерять фактические значения характе- 
ристик трафика в сети и гарантировать пользователям сети величины задержек в соот- 
ветствии с наблюдаемыми результатами. На практике постоянный мониторинг задержек 
и потерь пакетов требует установки в сети большого количества агентов-измерителей, 
хорошо синхронизированных друг с другом, а также программной системы регистрации 
и анализа измерительной информации. 
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Инжиниринг трафика 


При рассмотрении системы обеспечения качества обслуживания, основанной на резер- 
вировании, мы не стали затрагивать вопрос маршрутов следования потоков через сеть. 
Точнее, мы исходили из того, что маршруты каким-то образом выбраны, причем этот вы- 
бор делается без учета требований Оо$. И в условиях заданности маршрутов мы старались 
обеспечить прохождение по этим маршрутам такого набора потоков, для которого можно 
гарантировать соблюдение требований Оо5. 


Очевидно, что задачу обеспечения требований 005 можно решить более эффективно, если 
считать, что маршруты следования трафика не фиксированы, а также подлежат выбору. 
Это позволило бы сети обслуживать больше потоков с гарантиями Оо$ при тех же харак- 
теристиках самой сети, то есть пропускной способности каналов и производительности 
коммутаторов и маршрутизаторов. 


Задачу выбора маршрутов для потоков (или классов трафика) с учетом требований 005 решают 
методы инжиниринга трафика (Тга с Епдіпеегіпд). С помощью этих методов стремятся по 
возможности сбалансированно загрузить все ресурсы сети, чтобы сеть при заданном уровне 
качества обслуживания обладала как можно более высокой суммарной производительностью. 


Методы инжиниринга трафика не только позволяют найти рациональный маршрут для 
потока, но и резервируют для него ресурсы, главным образом пропускную способность 
устройств сети вдоль этого маршрута. 


Недостатки традиционных методов 
маршрутизации 


В сетях с коммутацией пакетов традиционные протоколы маршрутизации осуществляют 
выбор маршрута на основе топологии сети без учета ее текущей загрузки. 


Для каждой пары «адрес источника — адрес назначения» такие протоколы выбирают 
единственный маршрут, не принимая во внимание информационные потоки, протекающие 
через сеть. В результате все потоки между парами конечных узлов сети идут по кратчай- 
шему (в соответствии с некоторой метрикой) маршруту. Выбранный маршрут может быть 
более рациональным, например, если в расчет принимается номинальная пропускная 
способность каналов связи или вносимые ими задержки, или менее рациональным, если 
учитывается только количество промежуточных маршрутизаторов между исходным и ко- 
нечным узлами. 


Классическим примером неэффективности такого подхода является так называемая 
«рыба» — сеть с топологией, приведенной на рис. 5.21. Несмотря на то что между ком- 
мутаторами А и Е существует два пути (верхний — через коммутатор В, нижний — через 
коммутаторы Си Ш), весь трафик от коммутатора А к коммутатору Е в соответствии с тра- 
диционными принципами маршрутизации направляется по верхнему пути. Только потому, 
что нижний путь немного (на один ретрансляционный участок) длиннее, чем верхний, он 
игнорируется, хотя мог бы работать «параллельно» с верхним путем. 


Налицо явная ущербность разделения ресурсов сети между потоками — одни ресурсы 
работают с перегрузкой, а другие при этом не используются вовсе. Традиционные ме- 
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тоды борьбы с перегрузками эту проблему решить не могут, нужны качественно иные 
механизмы. 


Рис. 5.21. Неэффективность кратчайших путей 


Методы инжиниринга трафика 


Исходными данными для методов инжиниринга трафика являются: 
О характеристики передающей сети; 
О сведения о предложенной нагрузке сети. 


К характеристикам передающей сети относится ее топология, а также производительность 
составляющих ее коммутаторов и линий связи. Предполагается, что производительность 
процессора каждого коммутатора достаточна для обслуживания трафика всех его вход- 
ных интерфейсов, даже если трафик поступает на интерфейс с максимально возможной 
скоростью, равной пропускной способности интерфейса. При таких условиях в качестве 
резервируемых ресурсов выступает пропускная способность линий связи между комму- 
таторами (рис. 5.22). 


Пропускная 
способность 
ЛИНИИ СВЯЗИ 


Рис. 5.22. Топология сети и производительность ее ресурсов 


Сведения о предложенной нагрузке сети представляют собой информацию о потоках дан- 
ных, которые сеть должна передать между своими пограничными коммутаторами. Каждый 
поток характеризуется точкой входа в сеть, точкой выхода из сети и профилем трафика. 
Для получения оптимальных решений желательно использовать детальное описание каж- 
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дого потока, например, учитывать величину возможной пульсации трафика. Однако, как 
правило, учитываются только их средние скорости передачи данных (рис. 5.23). 


Средняя 
скорость 
передачи данных 


Рис. 5.23. Предложенная нагрузка 


Методы инжиниринга трафика чаще применяют не к отдельным, а к агрегированным по- 
токам, которые являются объединением нескольких потоков. Так как мы ищем общий 
маршрут для нескольких потоков, то агрегировать можно только потоки, имеющие общие 
точки входа в сеть и выхода из сети. Агрегированное задание потоков позволяет упростить 
задачу выбора путей, так как при индивидуальном рассмотрении каждого пользователь- 
ского потока промежуточные коммутаторы должны хранить слишком большие объемы 
информации. Агрегирование отдельных потоков в один возможно только в том случае, 
когда все потоки, составляющие агрегированный поток, предъявляют одни и те же требо- 
вания к качеству обслуживания. Далее в этом разделе мы будем для краткости пользоваться 
термином «поток» как для индивидуального потока, так и для агрегированного, поскольку 
принципы инжиниринга трафика от этого не меняются. 


Задача инжиниринга трафика состоит в определении маршрутов прохождения потоков 
через сеть, причем маршруты должны быть такими, чтобы ресурсы сети были загружены 
по возможности равномерно, а каждый поток получал требуемое качество обслуживания. 


Формально задача инжиниринга трафика может быть поставлена следующим образом: 


Решением задачи инжиниринга трафика является такой набор маршрутов для заданного мно- 
жества потоков трафика, для которого все значения коэффициентов загрузки ресурсов вдоль 
маршрута следования каждого потока не превышают некоторого заданного порога Ктах. 


Максимальный уровень использования ресурсов Ктах выбирается таким образом, чтобы 
механизмы управления перегрузкой могли обеспечить требуемое качество обслуживания. 
Это означает, что для эластичного трафика максимальное значение выбирается не больше 
чем 0,9, а для чувствительного к задержкам трафика — не больше чем 0,5. Так как обычно 
резервирование производится не для всех потоков, нужно оставить часть пропускной спо- 
собности для свободного использования. Поэтому приведенные максимальные значения 
обычно уменьшают до 0,75 и 0,25 соответственно. Для упрощения рассуждений будем 
полагать далее, что в сети передается один вид трафика, а далее покажем, как обобщить 
решение задачи инжиниринга для случая трафика нескольких типов. 
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Решение задачи инжиниринга трафика можно искать заблаговременно, в фоновом режи- 
ме. Для этих целей должна быть разработана внешняя по отношению к сети программа, 
исходными данными для которой служат топология и производительность сети, а также 
предложенная нагрузка. Эта программа ищет оптимальное распределение маршрутов, на- 
пример, путем направленного перебора вариантов. 


Задачу инжиниринга трафика можно решать в оперативном режиме, поручив ее самим 
коммутаторам сети. Для этого используются модифицированные стандартные протоколы 
маршрутизации. Модификация протоколов маршрутизации состоит в том, что они сообща- 
ют друг другу не только топологическую информацию, но и текущее значение свободной 
пропускной способности для каждого ресурса. 


После того как решение найдено, нужно его реализовать, то есть отразить в таблицах 
маршрутизации. Если мы вознамеримся проложить эти маршруты в дейтаграммной сети, 
то рискуем столкнуться с еще одной проблемой. Дело в том, что таблицы маршрутизации 
в них учитывают только адреса назначения пакетов. Коммутаторы и маршрутизаторы та- 
ких сетей (например, ІР-сетей) не работают с потоками, поскольку для них поток в явном 
виде не существует, а каждый пакет при его продвижении является независимой единицей 
коммутации. В связи с этим методы инжиниринга трафика сегодня используются только 
в сетях с виртуальными каналами, для которых не составляет труда реализовать найденное 
решение для группы потоков. 


Работа в недогруженном режиме 


Как отмечалось, самым простым способом обеспечения требований Оо$ для всех потоков 
является работа сети в недогруженном режиме, или с избыточной пропускной способно- 
СТЬЮ. 


Говорят, что сеть имеет избыточную пропускную способность, когда все части сети в любой 
момент времени обладают такой пропускной способностью, которой достаточно, чтобы 
обслужить все потоки трафика, протекающего в это время через сеть, с удовлетворитель- 
ными характеристиками производительности и надежности. Другими словами, ни одно 
из сетевых устройств такой сети никогда не подвергается перегрузкам, которые могли бы 
привести к значительным задержкам или потерям пакетов из-за переполнения очередей 
пакетов (конечно, это не исключает случаев потерь сетью пакетов по другим причинам, не 
связанным с перегрузкой сети, например, из-за искажений сигналов в линиях связи либо 
отказов сетевых узлов или линий связи). 


Заметим, что приведенное определение сети с избыточной пропускной способностью 
намеренно упрощено, чтобы донести суть идеи. Более аккуратное определение должно 
было бы учитывать случайный характер протекающих в сети процессов и оперировать 
статистическими определениями событий. Например, оговаривать, что такие события, 
как длительные задержки или потери пакетов из-за переполнения очередей в сети с из- 
быточной пропускной способностью, случаются настолько редко, что ими можно пре- 
небречь. 


Простота обеспечения требований 005 за счет работы сети в недогруженном режиме яв- 
ляется главным достоинством этого подхода — он требует только увеличения пропускной 
способности линий связи и, соответственно, производительности коммуникационных 
устройств сети. Никаких дополнительных усилий по исследованию характеристик потоков 
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сети и конфигурированию дополнительных очередей и механизмов кондиционирования 
трафика здесь не требуется. 


Чтобы быть уверенными, что сеть обладает достаточной пропускной способностью для 
качественной передачи трафика, необходим постоянный мониторинг временных характе- 
ристик (задержек и их вариаций) процессов передачи пакетов сетью. А в том случае, когда 
результаты мониторинга начинают стабильно показывать ухудшение характеристик каче- 
ства обслуживания, необходимо проводить очередную модернизацию сети и увеличивать 
пропускную способность линий связи и коммуникационных устройств. 


Однако мониторинг задержек и их вариаций является трудоемкой работой. Обычно 
операторы, которые хотят поддерживать свою сеть в недогруженном состоянии и за счет 
этого обеспечивать высокое качество обслуживания, просто осуществляют мониторинг 
уровня трафика в линиях связи сети, то есть измеряют коэффициент использования про- 
пускной способности линий связи. При этом линия связи считается недогруженной, если 
ее коэффициент использования постоянно не превосходит некоторый достаточно низкий 
уровень, например 20-30 %. Имея такие значения измерений, можно считать, что линия 
в среднем не испытывает перегрузок, а, значит, сеть будет передавать трафик качественно. 


Для автоматического резервирования ресурсов маршрутизаторов (таких как пропускная 
способность интерфейсов, размеры буферов) в пределах, разрешенных политикой Оо$ 
для данной сети, в начале 90-х годов был разработан протокол резервирования ресурсов 
(Кеѕоигсе геЅегУабоп РгоќосоЇ, ВЗУР). Этот протокол принимает запрос на резервирова- 
ния ресурсов от приложения, работающего на узле сети, генерирующего некоторого поток 
пакетов. В запросе указываются параметры, рекомендуемые для качественной передачи 
сетью трафика этого приложения: верхнюю и нижнюю границы требуемой пропускной 
способности, максимальные значения задержки и ее вариации и т. и. Запрос передается 
в пакете протокола КУР всем маршрутизаторам, расположенным вдоль пути потока 
между конечными узлами пути потока. 


Каждый маршрутизатор, получив запрос КУР проверяет, имеются ли у него ресурсы, 
необходимые для поддержания запрашиваемой пропускной способности и уровня 00$. 
Если запрос принимается, то маршрутизатор посылает запрос далее вдоль маршрута сле- 
дующему маршрутизатору, а данные о требуемом уровне Оо5 передаются тем механизмам 
маршрутизатора, которые ответственны за управлением трафиком. Если все маршрути- 
заторы вдоль пути потока принимают запрос КУР, то в сети устанавливается состояние 
резервирования для данного потока, так что пакеты потока, генерируемый узлом-отпра- 
вителем, получают необходимый уровень обслуживания. 


Подробнее о протоколе КУР можно прочитать в разделе «Протоколы ІпіЅегу и О1Н$егу. 
Поддержка Оо$ маршрутизаторами» на сайте авторов \\\.оШег.со.цК. 
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Вопросы к части | 


11. 
12; 


Поясните, почему сети МАМ появились раньше, чем сети ГАМ“. 


Охарактеризуйте Интернет в соответствии с критериями классификации компью- 
терных сетей. 


В чем главное отличие многотерминальной системы от компьютерной сети? 


Дайте определения терминам «клиент», «сервер», «сетевая служба», «сетевой сервис», 
«сетевая услуга». 


Какой тип топологии наиболее распространен сегодня в локальных сетях? 

Укажите, какие параметры передаваемых данных могут служить признаком инфор- 

мационного потока: 

а) адрес назначения; 

б) адрес источника; 

в) тип приложения; 

г) номер интерфейса, на который поступил пакет. 

Какие из следующих утверждений всегда верны: 

а) скорость передачи данных может быть выше предложенной нагрузки (речь идет 
об одних и тех же данных); 

б) скорость передачи данных всегда ниже пропускной способности; 

в) пропускная способность никак не связана с предложенной нагрузкой; 

г) скорость передачи данных может быть ниже предложенной нагрузки. 

Можно ли организовать надежную передачу данных между двумя конечными узлами 

без установления логического соединения? 

Какое логическое соединение может быть названо виртуальным каналом? 

Укажите, какие из приведенных ниже утверждений верны при любых условиях: 

а) в сетях с коммутацией каналов необходимо предварительно устанавливать соеди- 
нение; 

б) в сетях с коммутацией каналов не требуется указывать адрес назначения данных; 

в) сеть с коммутацией пакетов более эффективна, чем сеть с коммутацией каналов; 


г) сеть с коммутацией каналов предоставляет взаимодействующим абонентам гаран- 
тированную пропускную способность; 


д) данные, поступившие в составной канал, доставляются вызываемому абоненту без 
задержек и потерь; 

е) составной канал постоянно закрепляется за двумя абонентами; 

ж) составной канал имеет постоянную и фиксированную пропускную способность на 
всем своем протяжении. 

Какие свойства сетей с коммутацией каналов свидетельствуют об их недостатках? 


Какие свойства сетей с коммутацией пакетов негативно сказываются на передаче 
мультимедийной информации? 


13. 


14. 


15. 


16. 


17. 


18. 


19. 
20. 


2], 


22. 
23. 


24. 
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Какие из следующих характеристик полностью определяются пропускной способно- 
стью канала: 

а) время коммутации пакета; 

б) время распространения сигнала; 

в) время ожидания пакета в очереди; 

г) время сериализации. 


Приведите расчеты, поясняющие значение элементарного канала цифровых теле- 
фонных сетей 64 Кбит/с. 


Пусть линия связи, подключающая абонента к телефонной сети, имеет пропускную 

способность 128 Кбит/с. Почему линия связи, соединяющая коммутаторы в этой сети, 

не может иметь пропускную способность 30 710 Кбит/с? 

Представим себе писателя, который пишет книгу и по мере готовности каждой но- 

вой главы посылает ее в издательство. Работая над главой 8, он получил от издателя 

письмо о том, что им не получена глава 5. Писатель еще раз послал письмо с главой 5, 

попросив в дальнейшем подтверждать получение каждой из следующих глав. Какой 

способ продвижения пакетов — дейтаграммный или метод с установлением логиче- 

ского соединения — ближе к описанному методу обмена почтовыми отправлениями? 

Из-за чего скорость передачи пользовательских данных в сетях с коммутацией пакетов 

всегда ниже пропускной способности каналов связи? Варианты ответов: 

а) из-за пульсаций трафика; 

б) из-за разделения линий связи с другими пользователями; 

в) из-за наличия заголовков у пакетов; 

г) из-за задержек на коммутаторах. 

Поясните, почему пакетный коммутатор имеет буферную память: 

а) для принятия решения о коммутации пакета требуется выполнить анализ заголов- 
ка пакета; 

б) коммутатор иногда не успевает обработать пакет до прихода следующего; 

в) для ускорения обработки пакетов их помещают в буферную память; 

г) скорость передачи данных в одной линии связи коммутатора выше, чем в другой. 

В чем сходство и различие составного и виртуального каналов? 

Пусть имеются пять различных методов передвижения объектов: доставка товаров 

по почте; движение автотранспорта; лесосплав; рассылка спама; движение городских 

автобусов. Укажите, какой из этих методов может служить аналогией для следующих 

методов продвижения в компьютерных сетях: дейтаграммная пакетная коммутация; 

коммутация каналов; пакетная коммутация на основе виртуальных каналов; пакетная 

коммутация на основе логических соединений. 

Какой из способов продвижения данных — коммутация каналов или коммутация 

пакетов, — по вашему мнению, более защищен от информационных атак? 


На каком уровне модели ОЗ] работают сетевые службы? Приложения? 


Можно ли представить другой вариант модели взаимодействия сетевых средств, от- 
личный от модели ОЅІ и имеющий, например, шесть уровней? 


Всегда ли справедливо утверждение: «Протокол — это стандарт, формализованно 
описывающий правила взаимодействия двух систем, включая последовательность 
обмена сообщениями и их форматы»? 


25. 


26. 


27. 


28. 


29; 
30. 


31. 


32, 


33. 


34. 


35. 
36. 
37. 


38. 
99: 


40. 


41. 
42. 


43. 
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Пусть на двух компьютерах установлено идентичное программное и аппаратное обе- 
спечение, за исключением того, что драйверы сетевых адаптеров Ећегпеє поддержи- 
вают разные интерфейсы с вышележащим протоколом сетевого уровня ГР. Будут ли 
эти компьютеры нормально взаимодействовать, если их соединить в сеть? 


Если протокольная единица данных (РОП) некоторого протокола инкапсулирована 
в РОО протокола А-го уровня модели О$Т, можно ли с уверенностью утверждать, что 
первый протокол относится к уровню ё + 1? 


Какие преимущества дает следование открытым спецификациям? 


Вычислите значение стандартного отклонения и коэффициента вариации случайной 
задержки по гистограмме на рис. 5.3. 


Как можно уменьшить скорость потока пакетов? 


Если скорость потока, передаваемого по каналу с пропускной способностью 100 Гбит/с, 
равна 50 Гбит/с, чему равна скорость передачи отдельного пакета из этого потока? 


Пусть для передачи голоса используется дискретизация по времени с интервалом 25 мкс 
и дискретизация по значениям — 1024 градации звукового сигнала. Какая пропускная 
способность необходима для передачи полученного таким образом голосового трафика? 


Какой тип обслуживания целесообразно применить, если нужно обеспечить различ- 
ную минимальную гарантированную способность трем классам трафика? 


Объясните причину возможного возникновения очередей даже при невысокой средней 
загрузке коммутаторов или маршрутизаторов сети с коммутацией пакетов. 


Укажите, какие из перечисленных приложений наиболее чувствительны к потерям 
пакетов, задержкам и/или вариациям задержек: файловый сервис; мультимедийные 
сервисы; электронная почта; текстовый редактор; программа управления роботом; 
широковещательная рассылка аудиоинформации. 


Может ли трафик передаваться с большими задержками, но без джиттера? 
К каким нежелательным последствиям может привести приоритетное обслуживание? 


Пусть в результате измерений было получено среднее значение времени оборота паке- 
тов некоторого типа. Какие причины могут вызвать погрешность этой величины, если 
использовалась активная схема измерений? А если, наоборот, пассивная? 


Какой параметр трафика меняется при инжиниринге трафика? 


Пусть в коммутатор поступает поток данных, средняя скорость которого равна 
10 000 пакетов в секунду, и пусть среднее время обработки пакета в коммутационном 
блоке равно 1 мкс. Нужен ли буфер для очереди перед коммутационным блоком? 


Пусть пропускная способность 1 Гбит/с выходного интерфейса коммутатора должна 
быть разделена между тремя классами трафика в отношении 1:4:15. Каким образом 
эта проблема может быть решена с использованием взвешенных очередей? Какой объ- 
ем данных из каждой очереди должен выбираться при каждом просмотре, если цикл 
просмотра равен 100 мкс? 


Является ли коэффициент пульсации трафика количественной характеристикой? 


Как влияют профилирование и сглаживание на пиковую и среднюю скорость конди- 
ционируемых потоков? 


Известно, что профилирование — один из механизмов повышения качества обслужива- 
ния. Известно также, что в процессе профилирования некоторые пакеты отбрасываются. 
Потери пакетов ухудшают качество обслуживания. Как объяснить это противоречие? 


Часть 1! 


Технологии 
физического уровня 


О Глава 6. Линии связи 
О Глава 7. Кодирование и мультиплексирование данных 
Ц Глава 8. Технологии первичных сетей РОН и ОН 


О Глава 9. Технологии первичных сетей ОМ/ОМ и ОТМ 


В главе 6 рассматриваются различные типы линий связи и их характеристики. Сигналы, переданные 
по линии связи, приходят к приемнику с задержкой и искажениями, вызванными различными при- 
чинами. Так, скорость передачи данных ограничивается пропускной способностью линии. Искажения 
сигналов возникают в результате затухания мощности сигнала, ограниченности полосы пропускания 
и внешних и внутренних помех. Изучение этих характеристик базируется на аппарате спектрального 
представления электрических и оптических сигналов. Пропускная способность линии зависит отее 
полосы пропускания и метода кодирования передаваемой по линии связи информации. 


Глава 7 посвящена методам кодирования аналоговой и дискретной информации. Эти методы раз- 
личаются шириной спектра сигнала, полученного в результате кодирования, устойчивостью к шумам, 
способностью обнаруживать и исправлять битовые ошибки, некоторыми другими характеристиками. 
В этой же главе изучаются частотное, волновое и временное синхронное и асинхронное мультиплек- 
сирование каналов. 


Главы 8 и 9 посвящены технологиям первичных сетей РОН, $О0Н, ОМОМ и ОТМ. После изучения 
принципов построения компьютерных сетей в воображении читателя могла возникнуть достаточно 
простая картина компьютерной сети — компьютеры и коммутаторы, соединенные друг с другом 
отрезками кабеля. Однако при более детальном рассмотрении компьютерной сети все оказыва- 
ется сложнее, чем казалось при изучении модели О$1. Дело в том, что цельные отрезки кабеля 
используются для соединения сетевых устройств только на небольших расстояниях, то есть в ло- 
кальных сетях. При построении сетей МАМ и МАМ такой подход крайне расточителен из-за высокой 
стоимости протяженных линий связи такого рода. Поэтому гораздо чаще для связи коммутаторов 
в сетях М/АМ и МАМ используются существующие первичные территориальные сети с коммутацией 
каналов. В этом случае в первичной сети создается составной канал, который для компьютерной 
или телефонной наложенной сети выполняет те же функции, что и отрезок кабеля, — обеспечивает 
физическое двухточечное соединение. Технологии первичных сетей существенно отличаются от 
технологий компьютерных пакетных сетей: они основаны на принципе коммутации каналов; имеют 
узкую специализацию — транспортировку данных; используют в качестве способа разделения 
передающей среды методы синхронного временного мультиплексирования каналов (сети РОН, ЗОН 
и ОТМ), атакже мультиплексирования световых волн различной длины (сети ОМ/ОМ). 


ГЛАВА 6 Линии связи 


Классификация линий связи 


Первичные сети, линии и каналы связи 


При описании технической системы, которая передает информацию между узлами сети, 
в литературе можно встретить несколько названий: линия связи, составной канал, канал, звено. 
Часто эти термины используются как синонимы, причем во многих случаях это не вызывает 
проблем. В то же время есть и специфика в употреблении перечисленных терминов: 


О Звено (ПпК) — это сегмент, обеспечивающий передачу данных между двумя соседними 
узлами сети. Звено не содержит промежуточных устройств коммутации и мультиплек- 
сирования, но может включать усилители и регенераторы сигналов. 


О Каналом (сБаппе]) чаще всего обозначают часть пропускной способности звена, исполь- 
зуемую независимо при коммутации. Например, звено первичной сети может состоять 
из 30 каналов, каждый из которых обладает пропускной способностью 64 Кбит/с. 


О Составной канал (стсий) — это путь между двумя конечными узлами сети. Состав- 
ной канал образуется отдельными каналами промежуточных звеньев и внутренними 
соединениями в коммутаторах. Часто эпитет «составной» опускается, и термином 
«канал» называют как составной канал, так и канал между соседними узлами, то есть 
в пределах звена. 


Ц Линия связи может использоваться как синоним для любого из трех остальных тер- 
МИНОВ. 


Не стоит относиться к путанице в терминологии очень строго, в особенности к различиям 
в терминологии традиционной телефонии и более новой области — компьютерных сетей. 
Процесс конвергенции только усугубил проблему терминологии, так как многие механиз- 
мы этих сетей стали общими, но сохранили за собой по паре (иногда и больше) названий, 
пришедших из каждой области. 


Кроме того, существуют объективные причины для неоднозначного понимания терминов. 
На рис. 6.1 показаны два варианта линии связи. В первом случае линия состоит из сегмента 
кабеля длиной несколько десятков метров и представляет собой звено (рис. 6.1, а). Во вто- 
ром случае линия связи представляет собой составной канал, проложенный в сети с комму- 
тацией каналов (рис. 6.1, б). Такой сетью может быть первичная сеть или телефонная сеть. 


Однако для компьютерной сети эта линия представляет собой звено, так как соединяет два 
соседних узла (например, два маршрутизатора), и вся коммутационная промежуточная ап- 
паратура является прозрачной для этих узлов. Повод для взаимного непонимания на уровне 
терминов компьютерных специалистов и специалистов первичных сетей здесь очевиден. 


Первичные сети специально создаются для того, чтобы предоставлять услуги каналов 
передачи данных для компьютерных и телефонных сетей, про которые в таких случаях 
говорят, что они работают «поверх» первичных сетей и являются наложенными сетями. 
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Рис. 6.1. Состав линии связи 


Физическая среда передачи данных 


Для передачи информации в компьютерных сетях используются электромагнитные 
колебания — взаимосвязанные колебания электрического и магнитного полей. Электро- 
магнитными колебаниями являются радиоволны, микроволны, инфракрасное излучение, 
видимый свет. Частным случаем электромагнитных колебаний являются электрические 
колебания, когда рассматриваются колебания только электрических величин: силы тока, 
напряжения, заряда. 


Электромагнитные колебания могут распространяться в различных средах, которые де- 
лятся на два класса: 


О Направленные среды, или проводные среды. В этом случае электромагнитные волны 
перемещаются по физически ограниченному пути, например, по медному проводнику 
(передача электрического напряжения /тока) или волоконно-оптическому волокну. 
На основе таких проводников строятся проводные (воздушные) или кабельные линии 
связи (рис. 6.2). 


О Ненаправленные среды, или беспроводные среды. Электромагнитные волны распро- 
страняются свободно в среде, пропускающей электромагнитное излучение: в земной 
атмосфере, космическом пространстве, воде, грунте ит. п. 


Проводные (воздушные) линии связи представляют собой провода без каких-либо изоли- 
рующих или экранирующих оплеток, проложенные между столбами и висящие в воздухе. 
В прошлом такие линии связи были основными для передачи телефонных и телеграфных 
сигналов. Сегодня проводные линии связи быстро вытесняются кабельными. Но кое-где 
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Рис. 6.2. Типы сред передачи данных 


они все сще сохранились и при отсутствии других возможностей продолжают использо- 
ваться, в частности, и для передачи компьютерных данных. Скоростные качества и поме- 
хозащищенность этих линий оставляют желать много лучшего. 


Кабельные линии имеют достаточно сложную конструкцию. Кабель состоит из набора 
проводников, заключенных в несколько слоев изоляции: электрической, электромагнит- 
ной, механической и, возможно, климатической. Кроме того, кабель может быть оснащен 
разьемами, позволяющими быстро выполнять присоединение к нему различного обору- 
дования. В компьютерных (и телекоммуникационных) сетях применяются три основных 
типа кабеля: 


О кабели на основе скрученных пар медных проводов — неэкранированная и экраниро- 
ванная витая пара, 


Ц коаксиальные кабели с медной жилой; 
О волоконно-оптические кабели. 


Первые два типа кабелей — витую пару и коаксиальный кабель — называют также мед- 
ными кабелями. Волоконно-оптические кабели обладают широкой полосой пропускания 
и низкой чувствительностью к помехам. На них сегодня строятся как магистрали крупных 
территориальных и городских сетей, так и высокоскоростные локальные сети. 


Радиоканалы наземной и спутниковой связи образуются с помощью передатчика и при- 
емника радиоволн. Существует большое разнообразие типов радиоканалов, отличающихся 
как используемым частотным диапазоном, так и дальностью канала. Провайдеры Интер- 
нета применяют радиоканалы дальнего действия для предоставления пользователям со- 
единения с интернетом. Беспроводные каналы более короткого действия (\Л-Е1) широко 
используются для доступа пользователей к устройствам их собственной локальной сети 
как подключенной, так и не подключенной к Интернету. 


Аппаратура передачи данных 


Как показано на рис. 6.1, линии связи состоят не только из среды передачи, но и аппара- 
туры. Даже в том случае, когда линия связи не проходит через первичную сеть, а основана 
на кабеле, в се состав входит аппаратура передачи данных. 
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Аппаратура передачи данных (Паѓа Сігсиші-ќегтіпайїпе Еди!ртепе, ОСЕ) в компьютер- 
ных сетях непосредственно присоединяет компьютеры или коммутаторы к линиям связи 
и является, таким образом, пограничным, или оконечным, оборудованием линии связи. При- 
мерами ОСЕ являются модемы (для телефонных линий) и устройства для подключения 
к цифровым каналам первичных сетей. ОСЕ работает на физическом уровне модели ОЗТ, 
отвечая за кодирование и передачу информации в физическую среду (в линию) и прием 
из нее сигналов нужной формы, мощности и частоты. 


Аппаратура пользователя линии связи, вырабатывающая данные для передачи по линии 
связи и подключаемая непосредственно к аппаратуре передачи данных, носит обобщенное 
название оконечное оборудование данных (Раѓа Тегтіра! Едиртепе, ОТЕ). Примером 
ОТЕ могут служить компьютеры, коммутаторы и маршрутизаторы. Эту аппаратуру не 
включают в состав линии связи. Устройства ОСЕ и ОТЕ обычно располагаются на корот- 
ких расстояниях друг от друга. 


Для подключения ОСЕ-устройств к ОТЕ-устройствам (то есть к компьютерам или ком- 
мутаторам/маршрутизаторам) разработаны стандартные интерфейсы!. 


ПРИМЕЧАНИЕ 


Разделение оборудования на РСЕ и ОТЕ в локальных сетях является достаточно условным. Напри- 
мер, адаптер локальной сети можно считать как принадлежностью компьютера, то есть оборудованием 
ОТЕ, так и составной частью канала связи, то есть аппаратурой ОСЕ. Точнее, одна часть сетевого 
адаптера выполняет функции ОТЕ, а его другая, оконечная часть, непосредственно принимающая 
и передающая сигналы, относится к РСЕ. 


Помимо оконечной аппаратуры ОСЕ в линию связи может входить промежуточная ап- 
паратура. Она решает две основные задачи: 


О улучшение качества сигнала; 
О создание постоянного составного канала связи между двумя абонентами сети. 


В локальных сетях промежуточная аппаратура может совсем не использоваться, если про- 
тяженность физической среды — кабелей или радиоэфира — позволяет одному сетевому 
адаптеру принимать сигналы непосредственно от другого сетевого адаптера без дополни- 
тельного усиления. В противном случае применяется промежуточная аппаратура, роль 
которой здесь играют устройства типа повторителей и концентраторов. 


В глобальных сетях необходимо обеспечить качественную передачу сигналов на расстояния 
в сотни и тысячи километров. Поэтому без усилителей (повышающих мощность сигналов) 
и регенераторов (наряду с повышением мощности восстанавливающих форму импульс- 
ных сигналов, исказившихся при передаче на большое расстояние), установленных через 
определенные расстояния, построить территориальную линию связи невозможно. 


В первичных сетях, помимо упомянутого оборудования, обеспечивающего качественную 
передачу сигналов, необходима промежуточная коммутационная аппаратура — мульти- 
плексоры, демультиплексоры и кросс-коннекторы (коммутаторы). Эта аппаратура соз- 
дает между двумя абонентами сети постоянный составной канал из отрезков физической 
среды — кабелей с усилителями. 


1 Интерфейсы ОТЕ-ОСЕ описываются стандартами серии У ССІТТ, а также стандартами ЕТА серии 
К5 (Кесоттеп4е 4 Зкапдаг4$ — рекомендуемые стандарты). Две линии стандартов во многом ду- 
блируют друг друга. Наиболее популярными стандартами являются К5-232, К$-530, У.35 и Н$$И. 
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В зависимости от типа промежуточной аппаратуры все линии связи делятся на аналоговые 
и цифровые. 


В аналоговых линиях промежуточная аппаратура предназначена для усиления аналоговых 
сигналов, то есть сигналов, которые имеют непрерывный диапазон значений. Такие линии 
связи традиционно применялись в телефонных сетях с целью связи телефонных коммута- 
торов между собой. Для создания высокоскоростных каналов, которые мультиплексируют 
несколько низкоскоростных аналоговых абонентских каналов, при аналоговом подходе 


обычно используется техника частотного мультиплексирования (Егедиепсу Шіуіѕіоп 
МиёірІехіпе, ЕОМ)!. 


В цифровых линиях связи передаваемые сигналы имеют конечное число состояний, то 
есть являются дискретными. Как правило, элементарный сигнал, то есть сигнал, переда- 
ваемый за один такт работы передающей аппаратуры, имеет 2, 3 или 4 состояния, которые 
в линиях связи воспроизводятся импульсами или потенциалами прямоугольной формы. 
С помощью таких сигналов передаются как компьютерные данные, так и оцифрованные 
речь и изображение (именно благодаря одинаковому способу представления информации 
современными компьютерными, телефонными и телевизионными сетями стало возмож- 
ным появление общих для всех первичных сетей). В цифровых линиях связи используется 
специальная промежуточная аппаратура — регенераторы, которые улучшают форму им- 
пульсов и восстанавливают период их следования. Промежуточная цифровая аппаратура 
мультиплексирования и коммутации первичных сетей работает по принципу временного 
мультиплексирования каналов (Тіте ГРіуіѕіоп Мшарехте, ТОМ). 


Характеристики линий связи 


Спектральное представление сигнала 


Качество передачи данных по линиям связи определяется как характеристиками передавае- 
мых сигналов (мощность, способ кодирования и др.), так и характеристиками линий связи, 
к которым относятся: затухание; ограниченность полосы пропускания; помехозащищен- 
ность и др. При изучении характеристик линий связи важную роль играет спектральное 
представление сигналов. 


Как известно, процессы могут описываться аналоговыми и дискретными, периодическими 
и непериодическими функциями (рис. 6.3). 


Частным, но фундаментальным случаем аналоговой периодической функции является 
синусоида. 


Синусоида — волнообразная плоская кривая, которая является графиком периодической 
тригонометрической функции и = 517 х, где у равен отношению противолежащего катета 
к гипотенузе угла х. Период функции равен 2л, поскольку значение функции у = 51и х при 
любом х совпадает с ее значением при х+2л. Фундаментальное значение этой функции 
состоит в том, что многие природные процессы описываются этой функцией, например, 
изменение высоты маятника в зависимости от времени, высота волны в жидкости, уровень 
напряжения в электрической сети. 


1 Частотное и временное мультиплексирование рассматриваются в главах 7, 8 и 9. 
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Рис. 6.3. Аналоговые и дискретные, периодические и непериодические функции 


В общем случае синусоида как функция от времени (1) = А ѕіп (2пѓі+ф) имеет следующие 
параметры (рис. 6.4): 


Амплитуда (А) — максимальное значение функции; например, для модулированного сиг- 
нала, передаваемого по линии связи, амплитуда равна максимальному уровню напряжения 
этого сигнала. 


Период (Т) — время, в течение которого функция выполняет один цикл, /(ѓ) = у(Ё + Т). 


Частота (/) — величина, обратная периоду ў = 1/Т. Она также называется циклической 
частотой. Частота определяет, сколько полных колебаний синусоиды происходит за еди- 
ницу времени, измеряется в 1/с или в герцах. Коэффициент 27/ при аргументе ѓ носит 
специальное название круговой или радианной частоты, обозначается о, его можно также 
выразить через Г: о =27/Т. 


Фаза — относительное значение аргумента & в пределах одного периода. Фаза колебания 
показывает, какая часть периода ѓ/Т прошла с момента прохождения синусоидой начальной 
точки, за которую часто принимают последнее прохождение синусоиды через нуль, при 
движении из отрицательной в положительную область. Фазу также удобно использовать 
для описания относительного расположения двух синусоид. Разность фаз двух синусоид 
называется сдвигом фаз. Начальное значение фазы ф показывает сдвиг синусоиды от- 
носительно начала точки отсчета времени, влево — при положительном значении фазы 
и вправо — при отрицательном. 


Выше мы рассматривали синусоиду как функцию времени у({) в некоторой фиксированной 
точке пространства. Однако можно использовать другое представление синусоидальной 
функции у(х), когда ее значения изменяются в зависимости от расстояния х от некоторой 
точки. В реальной жизни мы часто сталкиваемся именно с такой природой колебательных 
процессов, когда колебания способны перемещаться, удаляясь от места возникновения. 
Синусоида как функция времени составляет единое целое с синусоидой функции рас- 
стояния, то есть является функцией двух переменных и(&, х), что отражает взаимосвязь 
временной и пространственной периодичности. 
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Ү({) = Аѕіп(шѓ+Ф). 


Период Т=2тт/0) 


Рис. 6.4. Синусоида 


У синусоиды у(х) имеется параметр — длина волны, который является аналогом периода 
синусоиды /({). Длина волны (А) определяется как расстояние, на которое перемещается 
волна за время, равное периоду Т, и, таким образом, скорость распространения волны о 
в данной среде равнах = А/Т. В вакууме все электромагнитные волны распространяются со 
скоростью, равной 300 000 км/с, независимо от их частоты. Эта скорость с (си) называется 
скоростью света. Таким образом, для вакуума справедливо фундаментальное соотношение 
с=А/Тилис= №. 

Синусоидальные функции обладают многими свойствами, делающими их эффективным 
инструментом изучения сигналов и линий связи. Одной из таких особенностей, например, 
является связанный с ними развитый математический аппарат. Поэтому такую важность 
приобретает факт, что процесс, описываемый произвольной, не обязательно синусоидальной 
функцией, может быть представлен в виде некоторого набора синусоидальных функций. 


Из теории гармонического анализа Фурье известно, что любой периодический процесс можно 
представить в виде суммы бесконечного набора синусоидальных колебаний различных частот 
и различных амплитуд. Этот набор называют спектральным разложением, разложением 
Фурье или спектром, а синусоидальное колебание определенной частоты — гармоникой. 


На рис. 6.5 показаны первые четыре гармоники спектрального разложения периодиче- 
ской аналоговой функции. Для восстановления исходного периодического сигнала по его 
спектру необходимо просуммировать все гармоники его разложения. Однако обычно во 
внимание принимается только несколько первых, так называемых значимых гармоник, 
потому что амплитуды последующих гармоник быстро убывают и вносят незначительный 
вклад в форму исходного сигнала. Самая первая частота спектра называется основной 
гармоникой. 


Разность между максимальной и минимальной частотами значимого набора синусоид, которым 
представлен исходный сигнал, называется шириной спектра сигнала. 
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Рис. 6.5. Представление периодического аналогового сигнала суммой синусоид 
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Рис. 6.6. Разложение и восстановление прямоугольных импульсов 
на основе спектрального представления 
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Импульсные сигналы, наряду с другими способами кодирования дискретных компьютер- 
ных данных, часто используются в каналах связи, поэтому их спектральное разложение 
представляет для нас особый интерес. На рис. 6.6 показан периодический дискретный 
сигнал — последовательность прямоугольных импульсов. Этот сигнал может быть пред- 
ставлен суммой бесконечного числа синусоид, причем каждая из последующих имеет 
меньшую амплитуду и период. На рисунке мы видим две первые гармоники. Если их про- 
суммировать, то в результате можно увидеть последовательность искаженных, но вполне 
распознаваемых прямоугольных импульсов. Еще ближе к исходному сигналу результат 
суммирования первых четырех гармоник. 


Отдельные гармоники можно представлять либо в виде синусоидальных функций от 
времени/расстояния, как это показано на рис. 6.6, либо в виде точек в координатах «ча- 
стота — амплитуда», как на рис. 6.7 (здесь также изображен спектр последовательности 
прямоугольных импульсов). 


Амплитуда А 


А2, ї2 


А5, 15 


[2 З Частота { 
Ширина спектра сигнала 


Рис. 6.7. Точечный спектр периодической последовательности 
прямоугольных импульсов 


Непериодические процессы также можно представить в виде бесконечного ряда синусои- 
дальных сигналов. Для сигналов произвольной формы, встречающихся на практике, спектр 
можно найти с помощью специальных приборов — спектральных анализаторов, которые 
измеряют спектр реального сигнала и отображают амплитуды составляющих гармоник на 
экране (рис. 6.8), распечатывают их на принтере или передают для обработки и хранения 
в компьютер в оцифрованном виде. 
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Рис. 6.8. Спектр сигнала, найденного спектральным анализатором 


Затухание и опорная мощность 


Разложение произвольного информационного сигнала на гармоники дает нам возможность 
теоретически предсказать его изменение (искажение) при прохождении среды передачи дан- 
ных, а это очень важно при проектировании линий связи, в процессе которого нужно выбрать 
передающую среду (например, медный проводник, оптическое волокно или радиоволны), 
способ кодирования информации, мощность передатчика, чувствительность приемника. 


Это предсказание основывается на следующем замечательном свойстве синусоидального 
сигнала — при прохождении через однородную распределенную в пространстве среду он со- 
храняет свою синусоидальную форми и частоту, а изменяются только его амплитуда и фаза. 


Следовательно, если мы будем знать, как некоторая среда передает синусоиды различной 
частоты, то сможем предсказать, как эта среда передаст любой периодический сигнал. Таким 
образом, не придется тестировать некоторую среду каждый раз, когда мы решим применить 
сигнал некоторой новой формы — достаточно будет найти разложение Фурье для нового 
сигнала и, зная, как среда передает гармоники, просуммировать или проинтегрировать их, 
получив результирующий сигнал на выходе среды. Вывод: зависимость амплитуды переда- 
ваемых гармоник от частоты для определенной среды должна быть найдена только один раз, 
а затем ее можно применять для анализа передачи различных типов сигналов этой средой. 


Для нахождения этой зависимости необходимо протестировать данную среду набором эта- 
лонных синусоидальных сигналов заданной амплитуды, но различной частоты, изменяя ее 
с некоторым шагом. Генерация синусоидального сигнала не представляет собой трудности, 
поскольку, как замечено, он присущ многим физическим процессам, например, перемен- 
ному электрическому току или звуковым или световым волнам. Найденная зависимость 
изменения амплитуды сигнала после прохождения среды для ряда последовательных 
частот называется амплитудно-частотной характеристикой среды. 
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Построив амплитудно-частотную характеристику среды, можно применить ее к спек- 
тральному разложению сигнала, то есть найти, какую амплитуду будет иметь каждая из 
составляющих нашего периодического сигнала после прохождения среды, а затем сложить 
все составляющие (гармоники), получив результирующий выходной сигнал. Заметим, 
что в этом рассуждении не учтено изменение фазы сигнала при его прохождении через 
среду. Это, естественно, упрощение, которое допустимо, если фазы различных гармоник 
изменяются одинаково, что часто бывает на практике. Если же это не так, то изменение 
фаз нужно принимать во внимание и знать фазо-частотную характеристику среды для 
анализа искажений сигнала. 


На практике в качестве характеристики линии связи чаще используется не зависимость 
амплитуды от частоты, а зависимость мощности сигнала от частоты. Обе зависимости дают 
одну и ту же качественную картину, Так как мощность синусоидального сигнала пропор- 
циональна квадрату его амплитуды, но существующие спектральные анализаторы более 
приспособлены измерять не амплитуду сигнала, а его мощность. 


Уменьшение мощности сигнала на пути от источника к приемнику кажется интуитивно 
понятным. Если обратиться к интересующим нас типам сигналов — прямоугольным 
импульсам, то эффект затухания (упрощенно, без учета других искажений) выражается 
в уменьшении амплитуды импульсов (рис. 6.9). 


Уровень Исходный сигнал 
напряжения 


Переданный сигнал 


Рис. 6.9. Влияние затухания на форму прямоугольного импульса 


Затухание показывает, насколько уменьшается мощность эталонного синусоидального сигнала 
на выходе линии связи по отношению к мощности сигнала на входе этой линии. Затухание (А) 
обычно измеряется в децибелах (дБ) и вычисляется по следующей формуле: 


А = 1019 РР. 
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Здесь Рин — мощность сигнала на выходе линии, Ру — мощность сигнала на входе линии, 
измеряемые в ваттах. 


Знание затухания линии очень важно — оно позволяет оценить необходимую мощность 
передатчика и чувствительность приемника (то есть минимальную мощность сигнала, 
которую приемник устойчиво распознает). 


Затухание зависит от длины линии связи, поэтому в качестве характеристики линии связи 
используется так называемое погонное затухание, то есть затухание на линии связи опре- 
деленной длины. Для кабелей локальных сетей в качестве такой длины обычно используют 
100 м — это значение является максимальной длиной кабеля для многих технологий ГАМ. 
Для территориальных линий связи погонное затухание измеряют для расстояния в 1 км. 


Обычно затуханием характеризуют пассивные участки линии связи, состоящие из кабелей 
и кроссовых секций, без усилителей и регенераторов. Так как мощность выходного сигнала 
кабеля без промежуточных усилителей меньше, чем мощность входного, затухание кабеля 
всегда является отрицательной величиной. 


Чаще всего при описании параметров линии связи приводятся значения затухания всего 
для нескольких значений частот. Это объясняется, с одной стороны, стремлением упростить 
измерения при проверке качества линии. С другой стороны, на практике часто заранее 
известна основная частота передаваемого сигнала, то есть та частота, гармоника которой 
имеет наибольшую амплитуду и мощность. Поэтому достаточно знать затухание на этой 
частоте, чтобы приблизительно оценить искажения передаваемых по линии сигналов. 


ВНИМАНИЕ 


Как уже отмечалось, затухание всегда имеет отрицательное значение, однако знак минус часто 
опускают, из-за чего иногда возникает путаница. Совершенно корректно утверждение, что качество 
линии связи тем выше, чем больше (с учетом знака) затухание. Если же игнорировать знак, то есть 
иметь в виду абсолютное значение затухания, то у более качественной линии затухание меньше, и это 
наиболее распространенная форма интерпретации этого термина. 


На рис. 6.10 показаны типовые зависимости затухания от частоты для кабелей длиной 
100 м на неэкранированной витой паре категорий 5 и 6. Чем выше категория кабеля, тем он 
качественнее, что отражают графики затухания. Так, кабель категории 5 имеет на частоте 
100 МГц затухание –23,6 дБ, а у более качественного кабеля категории 6 на этой же частоте 
затухание равно 20,6 дБ. Из графиков также видно, что с повышением частоты сигнала 
затухание увеличивается. Отсюда проистекают проблемы передачи дискретных данных 
с высокой скоростью: как мы увидим далее, при возрастании скорости передачи сигнала 
его частота увеличивается, что приводит к росту затухания. 


Оптический кабель имеет существенно меньшие (по абсолютной величине) величины 
затухания, обычно в диапазоне от —0,2 до —3 дБ при длине кабеля в 1000 м, а значит, яв- 
ляется более качественным, чем кабель на витой паре. Практически для всех оптических 
волокон типична сложная зависимость затухания от длины волны, которая имеет три так 
называемых окна прозрачности. На рис. 6.11 показана характерная зависимость затухания 
для оптического волокна (в оптике принято игнорировать знак затухания, поэтому ось 
величины затухания идет вверх). Из рисунка видно, что область эффективного использо- 
вания современных волокон ограничена волнами длин 850 нм, 1310 нм и 1550 нм, каждое 
окно шириной примерно 100 нм (соответственно частотами 35 ТІц, 23 ТГци 19,4 ТГ). 
Окно 1550 нм обеспечивает наименьшие потери, а значит, максимальную дальность при 
фиксированной мощности передатчика и фиксированной чувствительности приемника. 
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Частота (МГц) 


Затухание (дБ) 


Рис. 6.10. Затухание неэкранированного кабеля на витой паре 
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Рис. 6.11. Окна прозрачности оптического волокна 


В качестве характеристики мощности сигнала используются абсолютный и относительный 
уровни мощности. Абсолютная мощность измеряется в ваттах, относительная мощность — 
в децибелах. Мощность сигнала рассчитывается по той же формуле, что и затухание. Такая 
величина, как относительная мощность, используется при сравнении двух сигналов, на- 
пример, сигнала помехи и информационного сигнала. Затухание также является примером 
относительной мощности — в этом случае мы сравниваем мощность сигнала на выходе 
и входе линии связи. 
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Частным случаем относительной мощности является опорная мощность. При расчете опор- 
ной мощности уровень, на который делится измеряемая мощность, принимается равным 
1 мВт, что и отражается в названии этой единицы мощности, децибел-милливатт, дБм. 


Опорная мощность р вычисляется по формуле 
р = 1018 Р/(1 мВт) [дБм] 


Здесь Р — абсолютная мощность сигнала в милливаттах. 


Несмотря на использование отношения в определении опорной мощности, эта единица 
измерения является абсолютной, а не относительной, так как однозначно преобразует 
абсолютную мощность сигнала в ваттах в некоторое значение, которое никак не зависит от 
значения мощности другого сигнала, как это имеет место при определении децибела. Так, 
нетрудно вычислить соответствие некоторых значений мощности сигнала, выраженных 
в ваттах и дБм: 


1 мВ = 0 дБм, 10 мВ = 10 дБм, 1 В = 30 дБм, 100 кВ = 80 дБм. 


Опорные значения мощности удобно использовать при расчетах энергетического бюджета 
линий связи. 


Пример 


Пусть требуется определить минимальную опорную мощность х (дБм) передатчика, доста- 
точную для того, чтобы на выходе линии опорная мощность сигнала была не ниже некото- 
рого порогового значения у (дБм). Затухание линии известно и равно А. Пусть Х и У — это 
абсолютные значения мощности сигнала, заданные в милливаттах на входе и выходе линии 
соответственно. 


По определению А = 10 |5 Х/У. Используя свойства логарифмов, приходим к следующему: 
А = 1015 Х /У= 10]5(Х/1)/(У/Т) = 10 |5 Х/1 мВт - 10 [5 У/1 мВт. 


Заметим, два последних члена уравнения по определению являются опорными значениями 
мощности сигналов на выходе и входе, поэтому приходим к простому соотношению А = х – у, 
где х — опорная мощность входного сигнала, а у — опорная мощность выходного сигнала. 


Из последнего соотношения следует, что минимальная требуемая мощность передатчика мо- 
жет быть определена как сумма затухания и опорной мощности сигнала на выходе: х = А + у. 


Величина опорной мощности у выходного сигнала, являющаяся минимальной опорной 
мощностью сигнала на входе приемника, при котором он еще способен корректно распо- 
знавать дискретную информацию, содержащуюся в сигнале, называется порогом чувстви- 
тельности приемника. Очевидно, что для нормальной работы линии связи минимальная 
опорная мощность сигнала передатчика, даже ослабленная затуханием линии связи, долж- 
на превосходить порог чувствительности приемника: х - А > у. Проверка этого условия 
и является сутью расчета энергетического бюджета линии. 


Полоса пропускания 


На форму сигнала, передаваемого по линии связи, влияет ограниченность ее полосы про- 
пускания. 
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Полоса пропускания (Бапаміаћ) — это непрерывный диапазон частот, для которого затухание 
не превышает некоторый заранее заданный предел. То есть полоса пропускания определяет 
диапазон частот синусоидального сигнала, при которых этот сигнал передается по линии связи 
без значительных искажений. Полоса пропускания измеряется в герцах (Гц). 


ПРИМЕЧАНИЕ 


Термин «полоса пропускания» иногда используется как синоним термина «пропускная способность» 
и измеряется в битах в секунду. Конечно, лучше было бы применять разные термины для описания 
различных характеристик, но существуют традиции, которые изменить трудно. В таких случаях при- 
ходится различать значения термина по контексту. 


Полоса пропускания Частота, Гц 


Рис. 6.12. Зависимость затухания от частоты 


Степень затухания мощности синусоидального сигнала зависит от частоты синусоиды, 
и эта зависимость также характеризует линию связи (рис. 6.12). 


Часто граничными частотами полосы пропускания считаются частоты, на которых мощ- 
ность выходного сигнала уменьшается в два раза по отношению к входному, что соот- 
ветствует затуханию в –З дБ. Как мы увидим далее, ширина полосы пропускания в наи- 
большей степени влияет на максимально возможную скорость передачи информации по 
линии СВЯЗИ. 


Искажение передающей линией связи синусоиды какой-либо частоты приводит, в конеч- 
ном счете, к искажению амплитуды и формы передаваемого сигнала, так как гармоники 
различных частот искажаются не одинаково. Если это аналоговый сигнал, передающий речь, 
то изменяется тембр голоса за счет искажения обертонов — боковых частот. 


При передаче импульсных сигналов, характерных для компьютерных сетей, искажаются 
низкочастотные и высокочастотные гармоники — в результате фронты импульсов теряют 
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свою прямоугольную форму (рис. 6.13), и сигналы могут плохо распознаваться на при- 
емном конце линии. 


Уровень 


напряжения 
Исходный сигнал 


Сигнал, переданный 
по линии связи 


Рис. 6.13. Влияние ограниченности полосы пропускания на форму прямоугольного импульса 


Помехи 


Передаваемые сигналы искажаются из-за несовершенства линий связи, а также из-за 
внешних и внутренних помех. 


Для электрических сигналов идеальная передающая среда, не вносящая никаких помех 
в передаваемый сигнал, должна, по меньшей мере, иметь нулевые значения сопротивления, 
емкости и индуктивности. Однако на практике медные провода, например, всегда представ- 
ляют собой некоторую распределенную по длине комбинацию активного сопротивления, 
емкостной и индуктивной нагрузок (рис. 6.14). В результате синусоиды различных частот 
передаются этими линиями по-разному. 


Г В В | К - в 


Тс Тс Г Г 
ИНН НН НН НИНЕ =. 


Рис. 6.14. Представление медной линии как распределенной индуктивно-емкостной нагрузки 


Важным параметром медной линии связи является ее волновое сопротивление, представ- 
ляющее собой полное (комплексное) сопротивление, которое встречает электромагнитная 
волна определенной частоты при распространении вдоль однородной цепи. Волновое со- 
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противление измеряется в омах и зависит от таких параметров линии связи, как активное 
сопротивление, погонная индуктивность и погонная емкость, а Также от частоты самого 
сигнала. Выходное сопротивление передатчика должно быть согласовано с волновым со- 
противлением линии, иначе затухание сигнала будет неприемлемым. 


Помимо искажений сигналов, возникающих из-за неидеальных физических Параметров 
ЛИНИИ СВЯЗИ, СВОЙ вклад в искажение формы сигналов на выходе линии вносят помехи. 


Электромагнитная помеха — это нежелательное воздействие на передаваемый сигнал, ухуд- 
шающее возможность его распознавания при приеме. 


В результате помех сигналы на выходе линии связи могут иметь искаженную форму 
(рис. 6.15). Источник помех может находиться вне или внутри линии связи. 


Внешние помехи создаются различными электрическими двигателями, электронными 
устройствами, атмосферными явлениями и т. д. Внутренние помехи — это результат вза- 
имного влияния электрических процессов в проводниках линии связи, так называемые 
перекрестные наводки одной пары проводников на другую. 


Импульсы на входе 
линии связи 


Импульсы на выходе 
ЛИНИИ СВЯЗИ 


м МҸ 


Рис. 6.15. Искажение импульсов в линии связи 


Помеха может быть как регулярной, так и случайной величиной. В первом случае она может 
быть достаточно легко устранена. Например, наводка от силовой линии переменного тока 
может быть компенсирована соответствующим противофазным сигналом, а помеха от 
определенной радиостанции известной частоты может быть заблокирована фильтром, не 
пропускающим эту частоту. Сложнее обстоит дело со случайной помехой, которую нельзя 
заранее предсказать и скорректировать. Несмотря на защитные меры, предпринимаемые 
разработчиками кабелей, наличие усилительной и коммутирующей аппаратуры, полностью 
компенсировать влияние случайных внешних помех не удается. 


Разные виды помех могут по-разному воздействовать на исходный сигнал. В том случае, 
когда результирующий сигнал может быть представлен в виде суммы исходного сигнала 
и помехи, помеху называют аддитивной помехой или шумом (рис. 6.16). 
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Рис. 6.16. Влияние аддитивной помехи на исходный сигнал 


Важнейшим параметром, характеризующим работу линии связи в условиях аддитивных 
помех, является отношение «сигнал/шум» ($12па1-{(0-по1зе гайо — $№К), равное отношению 
средней мощности исходного сигнала к средней мощности шума Р,/Р,„ Чем меньше это зна- 
чение, тем более сложным должно быть устройство приемника, чтобы он мог компенсировать 
помехи. Как мы увидим далее, это соотношение занимает центральное место в формуле 
Шеннона, описывающей связь между пропускной способностью и полосой пропускания. 


Помехоустойчивость линии, как и следует из названия, определяет способность линии 
противостоять влиянию помех, создаваемых во внешней среде или на внутренних провод- 
никах самого кабеля. Помехоустойчивость линии зависит от типа используемой физиче- 
ской среды, а также от средств экранирования и подавления помех самой линии. Наименее 
помехоустойчивыми являются радиолинии. Хорошей устойчивостью обладают кабельные 
линии и отличной — волоконно-оптические линии, малочувствительные к внешнему 
электромагнитному излучению. Обычно для уменьшения помех, создаваемых внешними 
электромагнитными полями, проводники экранируют и/или скручивают. 


Электрическая и магнитная связь — это параметры медного кабеля, характеризующие 
воздействие на него помех. Электрическая связь определяется отношением наведенного 
тока в цепи, подверженной влиянию, к напряжению, действующему во влияющей цепи. 
Магнитная связь — это отношение электродвижущей силы, наведенной в подверженной 
влиянию цепи, к току во влияющей цепи. Результатом электрической и магнитной связи 
являются наведенные сигналы (наводки) в цепи, подверженной влиянию. Существует 
несколько различных параметров, характеризующих устойчивость кабеля к наводкам. 


Перекрестные наводки на ближнем конце (Меаг Епа Сгоѕѕ Та\, МЕХТ) определяют устой- 
чивость кабеля в том случае, когда наводка образуется в результате действия сигнала, гене- 
рируемого передатчиком, подключенным к одной из соседних пар на том же конце кабеля, 
на котором работает подключенный к подверженной влиянию паре приемник (рис. 6.17). 
Показатель МЕХТ, выраженный в децибелах, равен 10 1 Р,„/Р,һа, где Рош — мощность вы- 
ходного сигнала, Ра — мощность наведенного сигнала. 


Чем меньше значение МЕХТ, тем лучше кабель. Так, для витой пары категории 5 показатель 
МЕХТ должен быть меньше –27 дБ на частоте 100 МГц. 


Перекрестные наводки на дальнем конце (Раг Епа Сгоѕѕ Так, ЕЕХТ) позволяют оценить 
устойчивость кабеля к наводкам для случая, когда передатчик и приемник подключены 
к разным концам кабеля. Очевидно, что этот показатель должен быть лучше, чем МЕХТ, так 
как до дальнего конца кабеля добирается сигнал, ослабленный затуханием каждой пары. 


Показатели МЕХТ и ЕЕХТ обычно применяются к кабелю, состоящему из нескольких 
витых пар, так как в этом случае взаимные наводки одной пары на другую могут достигать 
значительных величин. Для одинарного коаксиального кабеля (то есть состоящего из 
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Передатчик Приемник 


Ри 


Приемник 


МЕХТ 


Передатчик 


Р 


Р 
іпд-ѓаг — мощность наведенного сигнала на дальнем конце кабеля 


па Р 


іпа-ѓаг 


Рис. 6.17. Переходное затухание 


одной экранированной жилы) этот показатель не имеет смысла, а для двойного коаксиаль- 
ного кабеля он также не применяется вследствие высокой степени защищенности каждой 
жилы. Оптические волокна тоже не создают сколько-нибудь заметных взаимных помех. 


Еще одной характеристикой линии связи является достоверность передачи данных. Она 
характеризует вероятность искажения каждого передаваемого бита данных. Иногда этот же 
показатель называют интенсивностью битовых ошибок (Вії Еггог Кже, ВЕК). Величина 
ВЕК для линий связи без дополнительных средств защиты от ошибок (например, само- 
корректирующихся кодов или протоколов с повторной передачей искаженных кадров) 
составляет, как правило, 10-4 10-6, в оптоволоконных линиях связи — 10-9. Значение до- 
стоверности передачи данных в 10-4, к примеру, говорит о том, что в среднем из 10 000 бит 
искажается значение одного бита. 


Пропускная способность 


Пропускная способность, называемая также емкостью линии связи (сарасіїу), характеризует 
максимальную скорость передачи данных, которая может быть достигнута на этой линии. 


Особенностью пропускной способности является то, что, с одной стороны, она зависит от 
характеристик физической среды (затухания и полосы пропускания), а с другой — способа 
передачи данных (кодирования). Следовательно, нельзя говорить о пропускной способно- 
сти линии связи до того, как для нее определен протокол физического уровня. 


Например, если для линии связи определен протокол физического уровня, задающий 
фиксированную битовую скорость передачи данных (1 гаѓе оѓ іїгапѕтіќќег), то для нее 
известна и соответствующая пропускная способность — например, 2 Мбит/с, 100 Мбит/с, 
1 Гбит/с ит. п. 
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В тех же случаях, когда только предстоит выбрать, какой из множества существующих 
протоколов использовать на данной линии, очень важными являются остальные харак- 
теристики линии: полоса пропускания, перекрестные наводки, помехоустойчивость и др. 


Пропускная способность, как и скорость передачи данных, измеряется в битах в секунду 
(бит/с), а также в производных единицах, таких как килобиты в секунду (Кбит/с) ит. д. 


ВНИМАНИЕ 


Пропускная способность линий связи и коммуникационного сетевого оборудования традиционно 
измеряется в битах в секунду, а не в байтах в секунду. Это связано с тем, что данные в сетях пере- 
даются последовательно, то есть побитно, а не параллельно, байтами, как это происходит между 
устройствами внутри компьютера. Такие единицы измерения, как килобит, мегабит или гигабит, 
в сетевых технологиях строго соответствуют степеням десяти (то есть килобит — это 1000 бит, а ме- 
габит — это 1 000 000 бит), как это принято во всех отраслях науки и техники, а не близким к этим 


числам степеням двойки, как это принято в программировании, где приставка «кило» равна 210 = 
1024, а «мега» — 220 = 1 048 576. 


Пропускная способность линии связи зависит не только от ее характеристик, таких как 
затухание и полоса пропускания, но и от спектра передаваемых сигналов. Если значимые 
гармоники сигнала (то есть те гармоники, амплитуды которых вносят основной вклад 
в результирующий сигнал) попадают в полосу пропускания линии, то такой сигнал будет 
хорошо передаваться данной линией связи, и приемник сможет правильно распознать 
информацию, отправленную по линии передатчиком (рис. 6.18, а). Если же значимые 
гармоники выходят за границы полосы пропускания линии связи, то сигнал будет значи- 
тельно искажаться, что усложнит приемнику распознавание информации (рис. 6.18, 6). 


Полоса пропускания линии связи Полоса пропускания линии связи 


Гармоники сигнала Гармоники 


сигнала 


Рис. 6.18. Соответствие между полосой пропускания линии связи и спектром сигнала 
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Влияние способа кодирования на пропускную 
способность 


Выбор способа представления дискретной информации в виде сигналов, подаваемых 
на линию связи, называется физическим или линейным кодированием. От выбранного 
способа кодирования зависит спектр сигналов и, соответственно, пропускная способ- 
НОСТЬ ЛИНИИ. 


Таким образом, для одного способа кодирования линия может обладать одной пропускной 
способностью, а для другого — другой. Например, витая пара категории 5 может переда- 
вать данные с пропускной способностью 100 Мбит/с при способе кодирования стандарта 
физического уровня 100Вазе-Т, и 1 Гбит/с при способе кодирования стандарта 1000Вазе-Т. 


В соответствии с основным постулатом теории информации любое различимое непредсказуемое 
изменение принимаемого сигнала несет в себе информацию. Отсюда следует, что синусоида, 
у которой амплитуда, фаза и частота остаются неизменными, информации не несет, так как 
изменение сигнала хотя и происходит, но является абсолютно предсказуемым. Аналогично, не 
несут в себе информации импульсы на тактовой шине компьютера, так как их изменения тоже 
постоянны во времени. А вот импульсы на шине данных предсказать заранее нельзя, что и делает 
их информационными — они переносят информацию между отдельными блоками или устрой- 
ствами компьютера. 


В большинстве способов кодирования используется изменение одного или нескольких 
параметров периодического электрического сигнала — частоты, амплитуды и фазы сину- 
соиды или же уровня напряжения/тока последовательности импульсов. Эти параметры 
называют информационными параметрами сигнала. Периодический сигнал, параметры 
которого подвергаются изменениям, называют несущим сигналом. Процесс изменения 
информационных параметров несущего сигнала в соответствии с передаваемой информа- 
цией называется кодированием или модуляцией. Измененный в результате кодирования 
несущий сигнал называют информационным сигналом. 


Если информационный сигнал изменяется так, что можно различить только два его со- 
стояния, то любое его изменение будет соответствовать наименьшей единице информа- 
ции — биту. Если же сигнал может иметь более двух различимых состояний, то любое его 
изменение будет нести несколько битов информации. Например, для сигнала с четырьмя 
состояниями одно изменение несет два бита: 00, 01, 10, 11. 


Передача дискретной информации в телекоммуникационных сетях осуществляется так- 
тированно, то есть изменение информационного параметра сигнала происходит через 
фиксированный интервал времени, называемый тактом. Величина, обратная значению 
такта, является тактовой частотой линии. Передатчик может отдельно от информацион- 
ных сигналов передавать тактовые сигналы, например, электрические импульсы по от- 
дельной линии связи, для того чтобы приемнику было легче распознавать начало каждого 
такта. Возможна также схема работы приемника и передатчика без передачи отдельного 
тактового сигнала — в этом случае приемник должен обладать очень точным таймером, 
а также возможностью иногда подстраивать свой таймер под таймер передатчика за счет 
анализа информационного сигнала, например, если информационный сигнал является 
прямоугольным импульсом, то подстройка может выполняться при приходе переднего 
фронта импульса. 
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Приемник информации считает, что в начале каждого такта на его вход поступает новая 
информация. При этом, независимо от того, повторяет ли сигнал состояние предыдущего 
такта или же он имеет состояние, отличное от предыдущего, приемник интерпретирует со- 
стояние сигнала как новую порцию информации. Например, если такт равен 0,3 секунды, 
а сигнал имеет два состояния и 1 кодируется потенциалом 5 вольт, то присутствие на входе 
приемника сигнала величиной 5 вольт в течение 3 секунд означает получение информации, 
представленной двоичным числом 1111111111. 


Скорость изменения информационного сигнала равна количеству тактов изменения инфор- 
мационного параметра несущего периодического сигнала в секунду. Она измеряется в бодах. 


Например, если такт передачи информации равен 0,1 секунды, то сигнал изменяется со 
скоростью 10 бод. 


Скорость передачи информации, которая в данном случае является пропускной способно- 
стью, измеряемая в битах в секунду, может быть как выше, так и ниже скорости изменения 
информационного сигнала, измеряемой в бодах. Это соотношение зависит от числа со- 
стояний информационного параметра. Например, если он имеет более двух различимых 
состояний, то при равных тактах и соответствующем методе кодирования информационная 
скорость в битах в секунду может быть выше, чем скорость изменения информационного 
сигнала в бодах. 


Пусть информационными параметрами являются фаза и амплитуда синусоиды, причем 
различаются четыре состояния фазы в 0, 90, 180 и 270° и два значения амплитуды сиг- 
нала — тогда информационный сигнал может иметь восемь различимых состояний. Это 
означает, что любое состояние этого сигнала несет З бита информации — 000, 001,..., 111. 
В этом случае модем, работающий со скоростью 2400 бод (меняющий информационный 
сигнал 2400 раз в секунду), передает информацию со скоростью 7200 бит/с, так как при 
одном изменении сигнала передается 3 бита информации. 


Если сигнал имеет два состояния (то есть несет информацию в 1 бит), то информационная 
скорость обычно совпадает с количеством бодов. Однако может наблюдаться и обратная 
картина, когда информационная скорость оказывается ниже скорости изменения инфор- 
мационного сигнала в бодах — например, когда для надежного распознавания приемником 
пользовательской информации каждый бит в последовательности кодируется нескольки- 
ми изменениями информационного параметра несущего сигнала. Так, при кодировании 
единичного значения бита импульсом положительной полярности, а нулевого значения 
бита — импульсом отрицательной полярности физический сигнал дважды изменяет свое 
состояние при передаче каждого бита. При таком кодировании скорость линии в битах 
в секунду в два раза ниже, чем в бодах. 


Из приведенных примеров видно, что пропускная способность линии связи тем выше, чем 
короче такт (выше частота периодического несущего сигнала) и чем больше устойчивых 
распознаваемых состояний имеет информационный сигнал. Однако эта скорость не может 
расти неограниченно, поскольку с увеличением частоты периодического несущего сигнала 
увеличивается и ширина спектра этого сигнала. Линия связи передает этот спектр сину- 
соид с теми искажениями, которые определяются ее полосой пропускания. Чем больше 
несоответствие между полосой пропускания линии и шириной спектра передаваемых 
информационных сигналов, тем больше сигналы искажаются и тем вероятнее ошибки 
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в распознавании различных состояний сигнала принимающей стороной. Это ограничивает 
число состояний сигнала, а значит, уменьшает скорость передачи информации. Таким об- 
разом, мы приходим к поиску баланса между характеристиками среды передачи (затухание, 
полоса пропускания и др.) и методом кодирования, таким, чтобы добиться максимальной 
величины пропускной способности (подробнее о различных методах кодирования — в сле- 
дующей главе). 


Соотношение полосы пропускания 
и пропускной способности 


Связь между полосой пропускания линии и ее пропускной способностью вне зависимости 
от принятого способа физического кодирования установил Клод Шеннон: 


С = Еов> (1 + МК) или С = Е1юв> (1 + Р./Ри). 


Здесь С — пропускная способность линии в битах в секунду, Ё — ширина полосы про- 
пускания линии в герцах, 5№МК — соотношение «сигнал/шум», Р, — мощность сигнала, 
Ри — мощность шума. 


Из этого соотношения следует, что теоретического предела пропускной способности линии 
с фиксированной полосой пропускания не существует. Однако на практике такой предел 
имеется. Действительно, повысить пропускную способность линии можно за счет увели- 
чения мощности передатчика или же уменьшения мощности шума в линии связи. Обе эти 
составляющие поддаются изменению с большим трудом. Повышение мощности передатчи- 
ка ведет к значительному увеличению его габаритов и стоимости. Снижение уровня шума 
требует применения специальных кабелей с хорошими защитными экранами, что весьма 
дорого, а также снижения шума в передатчике и промежуточной аппаратуре, чего достичь 
весьма непросто. К тому же влияние мощностей полезного сигнала и шума на пропускную 
способность ограничено логарифмической зависимостью, которая растет далеко не так 
быстро, как прямо пропорциональная. Так, при достаточно типичном исходном значении 
отношения мощности сигнала к мощности шума, равном 100, повышение мощности пере- 
датчика в 2 раза даст только 15 % увеличения пропускной способности линии. 


Близким по сути к формуле Шеннона является другое соотношение, полученное Найкви- 
стом, которое также определяет максимально возможную пропускную способность линии 
связи, но без учета шума в линии: 


С = 2Е108> М. 


Здесь М — количество различимых состояний информационного параметра. 


Если сигнал имеет два различимых состояния, то максимально возможная пропускная 
способность равна удвоенному значению ширины полосы пропускания линии связи. Если 
же в передатчике используется более двух устойчивых состояний сигнала для кодирования 
данных, то максимально возможная пропускная способность линии повышается, так как за 
один такт работы передатчик передает несколько битов исходных данных. Например, если 
сигнал может принимать 4 значения электрического потенциала, то за один такт передает- 
ся 2 бита данных, а если 16, то 4. Тем самым пропускная способность линии повышается 
в 2 или 4 раза при той же самой тактовой частоте передатчика. 
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Хотя в формуле Найквиста наличие шума в явном виде не учитывается, косвенно его влия- 
ние отражается в выборе количества состояний информационного сигнала. Для повышения 
пропускной способности линии связи следовало бы увеличивать количество состояний, но, 
как мы уже говорили, этому препятствует шум на линии. Например, мы не всегда можем 
увеличить пропускную способность линии за счет увеличения числа состояний, если ампли- 
туда шума время от времени будет превышать разницу между соседними уровнями сигнала. 
Так что, возможно, вместо желательных 16 состояний нам придется ограничиться всего 
четырьмя, а то и двумя. Количество возможных состояний сигнала фактически ограничива- 
ется соотношением мощности сигнала и шума по формуле Шеннона, а формула Найквиста 
определяет предельную скорость передачи данных в том случае, когда количество состояний 
уже выбрано с учетом возможностей устойчивого распознавания сигнала приемником. 


Проводные линии связи 


Сегодня как для внутренней проводки (кабели зданий), так и для внешней чаще всего 
применяются три класса проводных линий связи: 


О экранированная и неэкранированная витая пара; 
О коаксиальные кабели; 


О волоконно-оптические кабели. 


Экранированная и неэкранированная витая пара 


Витой парой называется скрученная пара проводов. Этот вид среды передачи данных 
очень популярен и составляет основу большого количества как внутренних, так и внешних 
кабелей. Кабель может состоять из нескольких скрученных пар (внешние кабели иногда 
содержат до нескольких десятков таких пар). 


Скручивание проводов снижает влияние внешних и взаимных помех на полезные сигналы, 
передаваемые по кабелю. 


Основные особенности конструкции кабелей показаны на рис. 6.19. 


Кабели на основе витой пары являются симметричными, то есть они состоят из двух оди- 
наковых в конструктивном отношении проводников. Симметричный кабель на основе 
витой пары может быть как экранированным, так и неэкранированным. 


Нужно отличать электрическую изоляцию проводящих жил, которая имеется в любом 
кабеле, от электромагнитной изоляции. Первая состоит из непроводящего диэлектриче- 
ского слоя — бумаги или полимера, например поливинилхлорида или полистирола. Во 
втором случае, помимо электрической изоляции, проводящие жилы помещаются также 
внутрь электромагнитного экрана, в качестве которого чаще всего применяется прово- 
дящая медная оплетка. 


Экранированная витая пара (5Ше!4е4 Туіѕѓеа Раіг, $ТР) хорошо защищает передаваемые 
сигналы от внешних помех, а также меньше излучает электромагнитные колебания вовне, 
что, в свою очередь, защищает пользователей сетей от вредного для здоровья излучения. 
Экранироваться может как кабель в целом, так и каждая отдельная пара для уменьшения 
перекрестных наводок. Наличие заземляемого экрана удорожает кабель и усложняет его 
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Коаксиальный кабель 


Рис. 6.19. Устройство кабелей 


прокладку, поэтому экранированную витую пару применяют только в тех случаях, когда 
это действительно необходимо, например, из-за больших внешних помех и повышенных 
требований к надежности передачи данных. 


Неэкранированная витая пара (Опзе!4еа Туле Раіг, ОТР) обеспечивает защиту от 
внешних помех только за счет скручивания проводов в пары, что, естественно, не является 
такой эффективной мерой, как экранирование, но во многих случаях оказывается доста- 
точной для передачи данных с нужным качеством. 


Кабели на основе витой пары, используемые для проводки внутри здания, разделяются 
в международных стандартах на категории (от 1 до 7). 


Параметры кабелей категорий 1-6 определяются стандартами ТІА/ЕІА-568 (разработан- 
ными организацией Те|есоттигтшсайоп ш4изгу Аѕѕосіабіоп, бывшей долгое время подраз- 
делением ныне упраздненной организации Еесігопіс Іпаиѕігіеѕ АШапсе — от названий этих 
организаций и происходит аббревиатура ТТА/ЕТА), а также близкими к ним стандартами 
І5ОЛЕС 11801 (последние также определяют кабели категории 7 и 8). 


Все кабели на витой паре независимо от их категории выпускаются в 4-парном исполнении. 
Каждая из четырех пар кабеля имеет определенные цвет и шаг скрутки. 


Уточним, что кабели категорий 1, 2, Зи 4 сегодня практически не применяются. 


Кабели категории 5 были специально разработаны для поддержки высокоскоростных 
протоколов. Их характеристики определяются в диапазоне до 100 МГц. Существует улуч- 
шенная версия категории 5е (5 епВапсе4), которая была разработана специально для более 
качественной поддержки протокола Сівађіє Е{Вегпее в основном за счет более жестких 
ограничений на перекрестные наводки. 


Появление технологии 10С Ефегпе привело к стандартизации более качественных 
кабелей категорий 6, ба, 7 и 8. Для кабеля категории 6 характеристики определяются до 
частоты 250 МГц, категории ба — до 500 МГц, а для кабелей категории 7 — до 600 МГц. 
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Кабели категории 7 обязательно экранируются, причем как каждая пара, так и весь кабель 
в целом. Кабель категории 6 может быть как экранированным, так и неэкранированным. 
Максимальная длина сегмента 10С Еёћегпеѓ на кабеле категории 6 равна 55 м, а на кабе- 
лях категорий ба и 7 — 100 м. Для кабелей категории 8 характеристики определяются до 
частоты 2000 МГц и расстояния кабеля до 30 м. 


Коаксиальный кабель 


Коаксиальный кабель состоит из несимметричных пар проводников. Каждая пара пред- 
ставляет собой внутреннюю медную жилу и соосную с ней внешнюю жилу, которая может 
быть полой медной трубой или оплеткой, отделенной от внутренней жилы диэлектриче- 
ской изоляцией. Внешняя жила играет двоякую роль — по ней передаются информаци- 
онные сигналы, и она является экраном, защищающим внутреннюю жилу от внешних 
электромагнитных полей. Существует несколько типов коаксиального кабеля, отличаю- 
щихся характеристиками и областями применения: для локальных компьютерных сетей, 
для глобальных телекоммуникационных сетей, для кабельного телевидения и т. п. 


Согласно современным стандартам, коаксиальный кабель не считается хорошим выбором 
при построении структурированной кабельной системы зданий. Перечислим основные 
типы и характеристики этих кабелей. 


О «Толстый» коаксиальный кабель разработан для сетей Есћегпеѓ 10Вазе-5 с волновым 
сопротивлением 50 Ом и внешним диаметром около 12 мм. Этот кабель имеет достаточ- 
но толстый внутренний проводник диаметром 2,17 мм, который обеспечивает хорошие 
механические и электрические характеристики (затухание на частоте 10 МГц — не хуже 
18 дБ/км). Однако этот кабель сложно монтировать — он плохо гнется. 


О «Тонкий» коаксиальный кабель предназначен для сетей ЕФегпее 10Ваѕе-2. Обладая 
внешним диаметром около 5 мм и тонким внутренним проводником 0,89 мм, этот 
кабель не так прочен, как «толстый» коаксиал, зато обладает гораздо большей гибко- 
стью, что удобно при монтаже. «Тонкий» коаксиальный кабель также имеет волновое 
сопротивление 50 Ом, но его механические и электрические характеристики хуже, чем 
у «толстого» коаксиального кабеля. Затухание в этом типе кабеля выше, чем в «тол- 
стом» коаксиальном кабеле, что приводит к необходимости уменьшать длину кабеля 
для получения одинакового затухания в сегменте. 


О Телевизионный кабель с волновым сопротивлением 75 Ом широко применяется 
в кабельном телевидении. Существуют стандарты локальных сетей, позволяющие ис- 
пользовать такой кабель для передачи данных. 


О Твинаксиальный кабель по конструкции похож на коаксиальный кабель, но отличается 
наличием двух внутренних проводников. Такой кабель применяется в новых высоко- 
скоростных стандартах 10С и 100С Е‹егпеѓ для передачи данных на небольшие рас- 
стояния — распараллеливание потоков данных между двумя проводниками упрощает 
достижение высокой суммарной скорости. 


Волоконно-оптический кабель 


Волоконно-оптический кабель состоит из тонких (5-60 микрон) гибких стеклянных 
волокон (волоконных световодов), по которым распространяются световые сигналы. Это 
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наиболее качественный тип кабеля — он обеспечивает передачу данных с очень высокой 
скоростью (до 100 Гбит/с и выше) на большие расстояния (80-100 км без промежуточно- 
го усиления), к тому же он лучше других типов передающей среды обеспечивает защиту 
данных от внешних помех (в силу особенностей распространения света такие сигналы 
легко экранировать). 


Каждый световод состоит из центрального проводника света (сердечника, или сердиеви- 
ны) — стеклянного волокна и стеклянной оболочки, обладающей меньшим показателем 
преломления, чем сердцевина. Распространяясь по сердцевине, лучи света не выходят за 
ее пределы, отражаясь от покрывающего слоя оболочки, так как она имеет более низкий 
коэффициент преломления. В зависимости от распределения показателя преломления 
и величины диаметра сердечника различают: 


О многомодовое волокно со ступенчатым изменением показателя преломления 
(рис. 6.20, а); 


О многомодовое волокно с плавным изменением показателя преломления (рис. 6.20, 6); 
0 одномодовое волокно (рис. 6.20, в). 
Понятие «мода» описывает режим распространения световых лучей в сердцевине кабеля. 


В одномодовом кабеле (ЗЭшяе Моде ЕЪег, 5МЕ) используется центральный проводник 
очень малого диаметра, соизмеримого с длиной волны света — от 5 до 10 мкм. При этом 
практически все лучи света распространяются вдоль оптической оси световода, не от- 
ражаясь от внешнего проводника. Изготовление сверхтонких качественных волокон для 
одномодового кабеля представляет собой сложный технологический процесс, что делает 
одномодовый кабель достаточно дорогим. Кроме того, в волокно такого маленького диа- 
метра трудно направить пучок света, не потеряв при этом значительную часть его энергии. 
Одномодовый кабель обладает очень низким затуханием — примерно -0,2 дБ/км для окна 
прозрачности волны размером в 1550 нм. 


В многомодовых кабелях (Миа Моде ЕЪег, ММЕ) используются более широкие вну- 
тренние сердечники, которые легче изготовить технологически. В многомодовых кабелях 
во внутреннем проводнике одновременно существует несколько световых лучей, отража- 
ющихся от внешнего проводника под разными углами. Угол отражения луча называется 
модой луча. В многомодовых кабелях с плавным изменением коэффициента преломления 
режим отражения лучей имеет сложный характер. Возникающая при этом интерференция 
ухудшает качество передаваемого сигнала, что приводит к искажениям передаваемых 
импульсов. По этой причине технические характеристики многомодовых кабелей хуже, 
чем одномодовых. 


Учитывая это, многомодовые кабели применяют в основном для передачи данных на 
скоростях не более 10 Гбит/с на небольшие расстояния (до 300-2000 м), а одномодовые — 
для передачи данных со сверхвысокими скоростями до сотен гигабитов в секунду (при 
использовании технологии О\/ОМ — до нескольких терабитов в секунду) на расстояния 
до нескольких десятков и даже сотен километров (дальняя связь). 


В качестве источников света в волоконно-оптических кабелях применяются: 
О светодиоды, или светоизлучающие диоды (1156 Етієсеа Ріоде, ГЕР); 
Ч полупроводниковые лазеры, или лазерные диоды. 


Для ОДНОМОДОВЫХ кабелей применяются только Лазерные диоды, Так как при таком малом 
диаметре оптического волокна световой ПОТОК, создаваемый светодиодом, невозможно без 
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Показатель 
преломления 


40—100 мкм 


ИХ 
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Покрытие 
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5—15 мкм 


Рис. 6.20. Типы оптического кабеля 


больших потерь направить в волокно — он имеет чересчур широкую диаграмму направлен- 
ности излучения, в то время как лазерный диод — узкую. Более дешевые светодиодные 
излучатели используются только для многомодовых кабелей. 


Стоимость волоконно-оптических кабелей ненамного превышает стоимость кабелей на 
витой паре, но проведение монтажных работ с оптоволокном обходится намного дороже из- 
за трудоемкости операций и высокой стоимости применяемого монтажного оборудования. 


Понятно, что несмотря на отличные характеристики передачи световых сигналов, воло- 
конно-оптические кабели не являются идеальными средами и вносят искажения в пере- 
даваемый сигнал. 


Искажения сигнала в волоконно-оптических кабелях имеют как линейный, так и нелиней- 
ный характер (линейность в данном случае определяется по отношению к интенсивности 
светового сигнала). 
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К линейным искажениям относятся: 


О Затухание оптического сигнала. Мощность сигнала уменьшается из-за поглощения 
света материалом волокна и примесями, рассеивания света из-за неоднородности 
плотности волокна, а также из-за кабельных искажений, обусловленных деформацией 
волокон при прокладке кабеля. Затухание измеряется в дБ/км, имеет типичные зна- 
чения от -0,2 до –0,3 (диапазон 1550 нм), от -0,4 до —1 (диапазон 1310 нм) иот -2 до 
—3 (диапазон 880 нм). 


О Хроматическая дисперсия (СБготайс Ріѕрегѕіоп, СО). Сигнал искажается из-за того, 
что волны различной длины распространяются вдоль волокна с различной скоростью. 
Так как прямоугольный импульс имеет спектр ненулевой ширины, из-за хроматической 
дисперсии составляющие его волны приходят на выход волокна с различной задержкой, 
и фронты импульса оказываются «размытыми». Две составляющие вносят свой вклад 
в хроматическую дисперсию: материальная, отражающая зависимость коэффициента 
преломления материала сердечника от длины волны, и волноводная, вызванная раз- 
личным поведением волн различной длины на границе между сердечником и оболочкой, 
то есть там, где изменяется коэффициент преломления. Хроматическая дисперсия оце- 
нивается отношением разницы времени распространения двух волн (в пикосекундах) 
в волокне определенной длины, обычно 1 км, к разнице длин волн (в нанометрах), то есть 
в пк/нм х км. Материальная составляющая хроматической дисперсии является положи- 
тельной для волн в окне прозрачности 880 нм (то есть в этом диапазоне длинные волны 
распространяются быстрее), и отрицательной для волн в окне прозрачности 1550 нм. 
В окне 1310 нм волны имеют близкую к нулю дисперсию, при этом нуль достигается 
непосредственно в окрестности волны 1310 нм (такая волна называется длиной волны 
нулевой дисперсии № данного кабеля). Типичные значения хроматической дисперсии 
для окна 1310 нм не превышают 3-5 пс/нм х км, а для окна 1550 нм — 20-25 пс/нм х км. 


Ц Поляризационная модовая дисперсия (Ро|аг!2айоп Моде Р:ѕрегѕіоп, РМО). Световая 
мода имеет две взаимно перпендикулярные поляризационные составляющие. В волно- 
воде с идеальным поперечным сечением, то есть представляющим собой окружность, 
эти составляющие распространяются с одинаковой скоростью. Так как реальные волно- 
воды всегда имеют некоторую овальность, то скорости составляющих отличаются, что 
приводит к поляризационной дисперсии. Этот вид дисперсии растет пропорционально 
квадратному корню длины кабеля, поэтому измеряется в пикосекундах, отнесенных 
к квадратному корню длины кабеля, то есть в пс/ Укм. Типичные значения РМО ле- 
жат в диапазоне 0,1-0,5 пс/Укм. Поляризационная дисперсия вносит меньший вклад 
в искажения оптических импульсов, чем хроматическая, но ее вклад возрастает при 
увеличении частоты модуляции сигнала. 


О Нелинейные искажения имеют различную природу и обусловлены зависимостью 
коэффициента преломления среды от интенсивности света (эффект Керра), а также 
эффектами рассеяния света в оптическом волокне (рассеяние Рамана, рассеяние Брил- 
люэна). Нелинейная зависимость таких эффектов от интенсивности светового потока 
затрудняет их компенсацию. На практике это проявляется в ограничении длины секций 
волоконно-оптических сетей без преобразования оптического сигнала в электрический 
и обратно (такая операция называется регенерацией оптического сигнала). 


Стандарты волоконно-оптических кабелей разрабатываются в ІТО-Т. Рекомендации 
С.652, С.653, С.655 описывают характеристики одномодовых, а С.651.1 — многомодовых 
волоконно-оптических кабелей. 
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Структурированная кабельная система зданий 


Структурированная кабельная система (Ѕігисїигеа СаЫта Ѕуѕїет) здания — это набор комму- 
тационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов), а также 
методика их совместного использования, которая позволяет создавать регулярные легко рас- 
ширяемые структуры связей в вычислительных сетях. 


Структурированная кабельная система здания — это своего рода «конструктор», с по- 
мощью которого проектировщик сети строит нужную ему конфигурацию из стандартных 
кабелей, соединенных стандартными разъемами и коммутируемых на стандартных крос- 
совых панелях. 


Здание представляет собой достаточно регулярную структуру — оно состоит из этажей, 
а каждый этаж, в свою очередь, состоит из определенного количества комнат, соединен- 
ных коридорами. Структура здания предопределяет структуру его кабельной системы 


(рис. 6.21). 
Коммуникационные 
средства предприятия 


еее еее еее ае- 
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Рис. 6.21. Иерархия структурированной кабельной системы 


Типичная структурированная кабельная система строится по иерархическому принципу, 
включая: 


О горизонтальные подсистемы, соответствующие этажам здания, — они соединяют крос- 
совые шкафы этажа с розетками пользователей; 


О вертикальные подсистемы, соединяющие кроссовые шкафы каждого этажа с централь- 
ной аппаратной здания; 


О подсистему кампуса, объединяющую несколько зданий с главной аппаратной всего 
кампуса или иного комплекса зданий (эта часть кабельной системы обычно называется 
магистралью). 


214 Часть И. Технологии физического уровня 


Использование структурированной кабельной системы вместо хаотически проложенных 
кабелей дает предприятию много преимуществ — при продуманной организации она 
может стать универсальной средой передачи компьютерных данных в локальной вычис- 
лительной сети, организации локальной телефонной сети, передачи видеоинформации 
и даже передачи сигналов от датчиков пожарной безопасности или охранных систем. 
Подобная универсализация позволяет автоматизировать многие процессы контроля, 
мониторинга и управления хозяйственными службами и системами жизнеобеспечения 
предприятия. 


Кроме того, применение структурированной кабельной системы делает более экономичным 
добавление новых пользователей и изменение их мест размещения. Известно, что стои- 
мость кабельной системы определяется в основном не стоимостью кабеля, а стоимостью 
работ по его прокладке. Поэтому выгоднее изначально провести однократную работу по 
прокладке кабеля, возможно, с большим запасом по длине, чем в дальнейшем несколько 
раз выполнять прокладку, наращивая длину кабеля. 


ГЛАВА 7 Кодирование 
и мультиплексирование 
данных 


Виды кодирования 


В предыдущей главе мы рассмотрели основные понятия кодирования информации при 
передаче через линии связи. Теперь изучим наиболее распространенные способы кодиро- 
вания более детально, начав с краткой классификации видов кодирования. Эта классифи- 
кация учитывает два фактора: характер передаваемой информации и характер сигналов, 
используемых для кодирования. 


Информация может быть дискретной (двоичные данные компьютеров) или аналоговой 
(звуковые колебания, электромагнитные колебания, интенсивность света). Точно так же 
сигналы, используемые для кодирования исходной информации, могут иметь дискретную 
природу (например, электрические сигналы с несколькими значениями потенциала) или 
аналоговую (электрические сигналы, радиоволны, световые волны). 


Тип передаваемой информации Тип сигнала 


Дискретный: 


Дискретная: 
10011010...01 


Аналоговый: 


Аналоговая: 
Речь, изображение А-А 


Рис. 7.1. Типы информации и сигналов при кодировании 
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В результате все типы кодирования сводятся к четырем случаям (рис. 7.1): 
1) кодирование дискретной информации с помощью дискретных сигналов (Д-Д); 
2) кодирование дискретной информации с помощью аналоговых сигналов (Д-А); 
3) кодирование аналоговой информации с помощью аналоговых сигналов (А-А); 
4) кодирование аналоговой информации с помощью дискретных сигналов (А-Д). 


Если для представления информации на линии связи используются аналоговые сигналы, 
то применяют не только термин «кодирование», но и «модуляция». Эти термины можно 
считать синонимами, и в дальнейшем мы будем использовать термин «кодирование» как 
общий для любого типа сигналов, а «модуляция» — как частный случай кодирования, 
когда нужно подчеркнуть аналоговый характер применяемых для кодирования сигналов. 


Кодирование дискретной информации 


Этапы кодирования 


Основные составляющие процесса кодирования дискретной информации показаны на 
рис. 7.2. 
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Рис. 7.2. Основные составляющие процесса кодирования 


На вход передатчика поступает дискретная информация, то есть последовательность нулей 
и единиц. Примером передатчика может быть сетевой адаптер компьютера, на который 
через внутреннюю шину компьютера поступают данные, выработанные некоторой про- 
граммой. 
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Передатчик работает с определенной тактовой частотой, посылая приемнику тактовые 
импульсы с периодом Т. В нашем примере в каждом такте передается один бит информа- 
ции, то есть выбранный информационный сигнал имеет два значения информационного 
параметра. 

Передатчик генерирует несущий сигнал, который в нашем примере является синусоидаль- 
ным электрическим сигналом с частотой Ѓ и периодом Г. 


В каждом такте передатчик изменяет (модулирует) несущий сигнал в соответствии со 
значением бита информации, передаваемого на этом такте. Информационным параметром 
в нашем примере является амплитуда синусоидального сигнала, которая может принимать 
два значения — А1 и А2. Значением А1 кодируется нуль, а А2 соответствует единице. 


Такт несущей частоты Т. выбирается таким образом, чтобы информационный параметр 
сигнала, в данном случае его амплитуда, смог быть устойчиво распознан приемником (в на- 
шем примере он в два раза меньше такта передачи информации). 


Модулированный информационный сигнал передается по линии связи и принимается 
приемником. 


Хотя в приведенной схеме используется кодирование аналоговым сигналом, ее основные 
элементы справедливы и для кодирования дискретными сигналами. 


Спектр информационного сигнала 


Для успешного распознавания приемником дискретной информации, переданной пере- 
датчиком (см. ранее), необходимо, чтобы спектр информационного сигнала укладывался 
в полосу пропускания линии связи. 


Поэтому ширина спектра информационного сигнала и его положение на частотной оси являют- 
ся одними из главных факторов, которые принимаются во внимание при создании некоторого 
метода кодирования. 


Спектр результирующего информационного сигнала зависит от типа кодирования и часто- 
ты изменения информационного сигнала (напомним, она измеряется в бодах). Эта частота 
являегся тактовой частотой передатчика. 


Сравним спектры дискретного и аналогового кодирования с одинаковой тактовой частотой 
и посмотрим, Какие требования предъявляют эти типы кодирования к полосе пропускания 
Канала. 


Рассмотрим сначала спектр информационного сигнала при дискретном кодировании. 
В качестве типичного представителя этого типа кодов возьмем кодирование потенииалом 
электрического сигнала с двумя состояниями. Пусть логическая единица кодируется по- 
ложительным потенциалом, а логический ноль — отрицательным потенциалом такой же 
величины. Для упрощения вычислений предположим, что передается информация, состо- 
ящая из бесконечной последовательности чередующихся единиц и нулей. Результирую- 
щий информационный сигнал имеет вид последовательности прямоугольных импульсов 
чередующейся полярности. 


Для такого вида сигнала спектр может быть получен аналитически из формул Фурье для 
периодической функции. Пусть дискретные данные передаются с тактовой частотой № бод. 
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Так как потенциальный код имеет два состояния сигнала, то и битовая скорость передачи 
данных будет равна М бит/с. Спектр такого кода состоит из постоянной составляющей 
нулевой частоты и бесконечного ряда гармоник с частотами /о, З/о, 5/о, 7/о, ..., где /о = №2. 
Амплитуды этих гармоник убывают достаточно медленно — с коэффициентами 1/3, 1/5, 
1/7, ... от амплитуды гармоники ў (рис. 7.3, а), а это означает, что для качественной пере- 
дачи потенциального кода нужен канал с относительно широкой полосой пропускания. На- 
пример, для передачи данных, закодированных таким способом, со скоростью 100 Мбит/с 
канал должен иметь полосу пропускания от 50 МГц до 350 МІЦ, если считать, что основной 
вклад в форму сигнала вносят только первые четыре гармоники. 


На рисунке показана полоса пропускания некоторого канала, которая хорошо пропускает 
только первые две гармоники потенциального сигнала. Значит, сигнал на выходе будет 
сильно искажен, то есть данный канал не подходит для выбранного типа кодирования 
и тактовой частоты. Заметим, что ширина спектра потенциального сигнала (№/2, 7№/2), 
равная З№, прямо пропорциональна тактовой частоте передатчика М. При невозможности 
заменить канал связи попробуем уменьшить тактовую частоту передатчика и добиться 
устойчивой передачи данных с меньшей скоростью. Для нашего примера уменьшение 
тактовой частоты в три раза приведет к желаемому результату, так как тогда первые четыре 
гармоники будут укладываться в полосу пропускания канала. 


Полоса пропускания А 
линии 


Полоса пропускания 
линии 


Спектр 


Спектр 
потенциального 


модулированного 
сигнала 


о = № Зі 50 Е с — частота несущей Е 
„— частота модуляции 
а 6 


Рис. 7.3. Спектры сигналов при потенциальном кодировании и амплитудной модуляции 


При анализе спектра потенциального сигнала мы сделали предположение, что передается 
чередующаяся последовательность единиц и нулей, — это упрощение позволило нам найти 
аналитическую формулу для всех гармоник спектра. На практике такая ситуация наблю- 
дается не всегда, а значит, и спектр сигнала будет другим. Например, передача длинной по- 
следовательности нулей или единиц сдвигает спектр в сторону низких частот, а в крайнем 
случае, когда передаваемые данные состоят только изединиц (или только из нулей), спектр 
состоит из гармоники нулевой частоты. При передаче чередующихся единиц и нулей по- 
стоянная составляющая отсутствует. Поэтому более адекватным является утверждение 
о том, что спектр потенциального сигнала при передаче произвольных данных занимает 
полосу от некоторой величины, близкой к нулю, до примерно 7/о. Гармониками с частота- 
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ми выше 7/ можно пренебречь из-за их малого вклада в результирующий сигнал. То есть 
спектр потенциального кода имеет границы (0, 7М№/2), включающие низкие частоты. Это 
обстоятельство делает его малопригодным для передачи компьютерных данных по абонент- 
ским телефонным каналам, для которых характерна полоса пропускания (300 Гц, 3400 Гц). 


Теперь рассмотрим спектр информационного сигнала в случае аналогового кодирования. 
В качестве типового представителя этого класса кодирования возьмем амплитудную 
модуляцию синусоидальной несущей. Вид результирующего информационного сигнала 
показан на рис. 7.3, 6. Спектр сигнала такого вида может быть представлен гармоникой 
частоты /‹ и двумя боковыми гармониками (/. + м) и (К - [в ), где /„ — частота изменения 
информационного параметра синусоиды, то есть тактовая частота передатчика, /„ = М. 
Мощность гармоник более высоких частот убывает быстро, ими можно пренебречь. Отсюда 
следует, что амплитудная аналоговая модуляция имеет спектр сигнала шириной 2№, что 
уже, чем спектр потенциального кода с той же тактовой частотой, 2№ < 7№/2. Например, 
при тактовой частоте 10 МГц потенциальный код будет иметь спектр шириной в 35 МГц, 
а амплитудно-модулированный сигнал — 20 МГц. 


Спектр амплитудно-модулированного сигнала не только уже спектра потенциального кода, 
но и может быть перемещен по оси частот в зону полосы пропускания линии связи путем 
варьирования частотой /, несущего сигнала. Это делает амплитудную модуляцию более 
подходящим способом передачи дискретных данных по телефонным каналам. 


Выбор способа кодирования 


При выборе способа кодирования нужно одновременно стремиться к достижению не- 
скольких целей: 


О минимизировать ширину спектра сигнала, полученного в результате кодирования; 
О обеспечивать синхронизацию между передатчиком и приемником; 

О обеспечивать устойчивость к шумам; 

О обнаруживать и по возможности исправлять битовые ошибки; 

О минимизировать мощность передатчика. 


Более узкий спектр сигнала позволяет на одной и той же линии (с одной и той же полосой 
пропускания) добиваться более высокой скорости передачи данных. 


Как мы видели ранее, спектр сигнала при некотором выбранном методе кодирования про- 
порционально увеличивается при увеличении тактовой частоты передатчика, например, 
для потенциального кодирования эта зависимость прямо пропорциональна. Поэтому, за- 
фиксировав способ кодирования, мы можем повышать тактовую частоту передатчика и, 
следовательно, битовую скорость передаваемых дискретных данных до некоторого преде- 
ла, до тех пор пока спектр сигнала еще помещается в полосу пропускания линии. Более 
высокой битовой скорости при данном методе кодирования достичь нельзя, так как при 
дальнейшем повышении тактовой частоты передатчика боковые составляющие спектра 
будут обрезаться линией, из-за чего сигналы начнут приходить на приемник искаженны- 
ми, так что приемник не сможет надежно распознавать биты передаваемой информации. 


Повысить тактовую частоту до более высокого предела возможно, прибегнув к другому 
методу кодирования, который при той же тактовой частоте приводит к сигналам более 
узкого спектра. И если новый и старый методы кодирования использовали одно и то же 
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число состояний сигнала, то мы добьемся выигрыша в битовой скорости — во столько раз, 
во сколько при одной и той же частоте спектр нового метода кодирования уже старого. 


Синхронизация передатчика и приемника нужна для того, чтобы приемник точно знал, 
в какой момент времени считывать новую порцию информации с линии связи. При пере- 
даче дискретной информации время всегда разбивается на такты одинаковой длительности, 
и приемник старается считать новый сигнал в середине каждого такта, синхронизируя 
таким образом свои действия с передатчиком. 


Проблему синхронизации устройств, связанных сетью, решить сложнее, чем синхрониза- 
цию устройств, близко расположенных друг к другу, например, блоков внутри компьютера. 
На небольших расстояниях хорошо работает схема, основанная на отдельной тактирую- 
щей линии связи, так что информация снимается с линии только в момент прихода тактово- 
го импульса. В сетях использование этой схемы вызывает трудности из-за неоднородности 
характеристик проводников в кабелях. На больших расстояниях неравномерность скорости 
распространения сигнала может привести к тому, что тактовый импульс придет настолько 
позже или раньше соответствующего сигнала данных, что бит данных будет пропущен или 
считан повторно. Другой причиной, по которой в сетях отказываются от использования 
тактирующих импульсов, является экономия проводников в дорогостоящих кабелях. 


В сетях для решения проблемы синхронизации применяются так называемые самосин- 
хронизирующиеся коды, сигналы которых несут для приемника указания о том, в какой 
момент времени начать распознавание очередного бита (или нескольких битов, если код 
ориентирован более чем на два состояния сигнала). Любой резкий перепад сигнала — 
фронт — может служить указанием на необходимость синхронизации приемника с пере- 
датчиком. При использовании синусоид в качестве несущего сигнала результирующий код 
обладает свойством самосинхронизации, так как изменение амплитуды несущей частоты 
дает возможность приемнику определить момент очередного такта. 


Распознавание и коррекцию искаженных данных сложно осуществить средствами физи- 
ческого уровня, поэтому чаще всего эту работу берут на себя вышележащие протоколы: 
канальный, сетевой, транспортный или прикладной. В то же время распознавание ошибок 
на физическом уровне экономит время, так как приемник не ждет полного помещения ка- 
дра в буфер, а отбраковывает его сразу при распознавании ошибочных битов внутри кадра. 


Требования, предъявляемые к методам кодирования, являются взаимно противоречивыми, 
поэтому каждый из рассматриваемых далее популярных методов кодирования обладает 
своими достоинствами и недостатками в сравнении с другими. 


Кодирование дискретной информации 
дискретными сигналами 


Потенциальный код МВ2 


Рисунок 7.4, а иллюстрирует уже упомянутый ранее метод потенииального кодирования, 
называемый также кодированием без возвращения к нулю (Моп Кеќигп ќо 7его, МКЛ). 
Последнее название отражает то обстоятельство, что, в отличие от других методов кодиро- 
вания, при передаче последовательности единиц сигнал не возвращается к нулю в течение 
такта. 
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Рис. 7.4. Способы дискретного кодирования данных 


К достоинствам метода МКЛ, относятся: 
Простота реализации. 


О Хорошая распознаваемость кода (благодаря наличию двух резко отличающихся по- 
тенциалов). 


О Основная гармоника /о имеет достаточно низкую частоту (равную №/2 Гц, как было 
показано в предыдущем разделе), что приводит к относительно узкому спектру. 


Недостатки метода МКИ: 


О Метод не обладает СВОЙСТВОМ самосинхронизации. Длинная последовательность единиц 
ИЛИ нулей приводит к тому, что сигнал не изменяется в течение многих тактов, Так что 
приемник не имеет возможности синхронизироваться с передатчиком. 


О Из-за наличия низкочастотной составляющей, которая приближается к постоянному 
сигналу при передаче длинных последовательностей единиц или нулей, линии связи, 
не обеспечивающие прямого гальванического соединения между приемником и ис- 
точником, часто не поддерживают этот вид кодирования. 


Кодирование М№К7 применяется как для электрических, так и для световых сигналов, в по- 
следнем случае сигналом является не уровень потенциала, а наличие или отсутствие света 
в оптическом волокне. 


222 Часть !!. Технологии физического уровня 


Биполярное кодирование АМ! 


Одной из модификаций метода МК7 является метод биполярного кодирования с альтер- 
нативной инверсией (АКегпае МагК Іпуегѕіоп, АМП. В этом методе применяются три 
уровня потенциала — отрицательный, нулевой и положительный (см. рис. 7.4, 6). Для 
кодирования логического нуля используется нулевой потенциал, а логическая единица 
кодируется либо положительным потенциалом, либо отрицательным, при этом потенциал 
каждой новой единицы противоположен потенциалу предыдущей. 


При передаче длинных последовательностей единиц код АМ! частично решает проблемы 
наличия постоянной составляющей и отсутствия самосинхронизации, присущие коду МКИ. 
В этих случаях сигнал на линии представляет собой последовательность разнополярных им- 
пульсов с тем же спектром, что и у кода МК, передающего чередующиеся нули и единицы, 
то есть без постоянной составляющей и с основной гармоникой №/2 Гц (где М — битовая ско- 
рость передачи данных). Длинные последовательности нулей для кода АМІ столь же опасны, 
как и для кода МКИ, — сигнал вырождается в постоянный потенциал нулевой амплитуды. 


Потенциальный код МВ 


Потенциальный код с инверсией при единице (Моп Кеќигпр (о Лего уміћ опеѕ [шуеке4, 
МК11) при передаче нуля сохраняет потенциал, который был установлен на предыдущем 
такте, а при передаче единицы инвертирует на противоположный. 


Код МК71 обладает лучшей самосинхронизацией, чем МК7, так как при передаче единицы 
сигнал меняется. Тем не менее при передаче длинных последовательностей нулей сигнал 
не меняется (например, при передаче последних трех нулей на рис. 7.4, а) и, значит, у при- 
емника исчезает возможность синхронизации с передатчиком на значительное время, что 
может приводить к ошибкам распознавания данных. 


Биполярный импульсный код 


Помимо потенциальных кодов в сетях используются импульсные коды, в которых данные 
представлены полным импульсом или же его частью — фронтом. Наиболее простым кодом 
такого рода является биполярный импульсный код, в котором единица представляется 
импульсом одной полярности, а ноль — другой (см. рис. 7.4, в). Каждый импульс длится 
половину такта. Подобный код обладает отличными самосинхронизирующими свойствами, 
но постоянная составляющая может присутствовать, например, при передаче длинной по- 
следовательности единиц или нулей. Кроме того, спектр у него шире, чем у потенциальных 
кодов. Так, при передаче всех нулей или единиц частота основной гармоники кода равна 
МІЦ, что в 2 раза выше основной гармоники кода МК/ ив 4 раза выше основной гармоники 
кода АМІ при передаче чередующихся единиц и нулей. Из-за слишком широкого спектра 
биполярный импульсный код используется редко. 


Манчестерский код 


В локальных сетях до недавнего времени самым распространенным был так называемый 
манчестерский код (см. рис. 7.4, г), применяемый в технологии 10 Мбит/с Ећегпеї. 


В манчестерском коде для кодирования единиц и нулей используется перепад потенци- 
ала, то есть фронт импульса. При манчестерском кодировании каждый такт делится на 
две части. Информация кодируется перепадами потенциала, происходящими в середине 
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каждого такта. Единица кодируется перепадом от низкого уровня сигнала к высокому, 
а ноль — обратным перепадом. В начале каждого такта может происходить служебный 
перепад сигнала, если нужно представить несколько единиц или нулей подряд. Так как, 
сигнал изменяется, по крайней мере, один раз за такт передачи одного бита данных, то 
манчестерский код обладает хорошими самосинхронизирующими свойствами. Полоса 
пропускания манчестерского кода уже, чем у биполярного импульсного. Кроме того, у него 
нет постоянной составляющей, к тому же основная гармоника в худшем случае (при пере- 
даче последовательности единиц или нулей) имеет частоту № Гц, а в лучшем (при передаче 
чередующихся единиц и нулей) — №2 Гц, как и у кодов АМІ и МКГ. В среднем ширина 
полосы манчестерского кода в полтора раза уже, чем у биполярного импульсного кода, 
а основная гармоника колеблется вблизи значения З№/4. Манчестерский код имеет еще 
одно преимущество перед биполярным импульсным кодом: в последнем для передачи 
данных используются три уровня сигнала, а в манчестерском — два. 


Избыточные коды 


Избыточные коды основаны на разбиении исходной последовательности битов на порции, 
которые часто называют символами. Затем каждый исходный символ заменяется новым 
с большим количество битов, чем исходный. 


Например, в логическом коде 4В /5В, используемом в технологии Еа${ Е(ћегпеѓ, исходные 
символы длиной 4 бита заменяются символами длиной 5 бит. Поскольку результирую- 
щие символы содержат избыточные биты, общее количество битовых комбинаций в них 
больше, чем в исходных. Так, в коде 4В/5В результирующие символы могут содержать 
32 битовые комбинации, в то время как исходные символы — только 16 (табл. 7.1). Поэтому 
в результирующем коде появляется возможность отобрать 16 таких комбинаций, которые 
не содержат большого количества нулей, а остальные посчитать запрещенными кодами 
(соае у1о|аНоп5$). Помимо устранения постоянной составляющей и придания коду свойства 
самосинхронизации, избыточные коды позволяют приемнику распознавать искаженные 
биты. Если приемник принимает запрещенный код, то это означает, что на линии произо- 
шло искажение сигнала. 


Таблица 7.1. Соответствие исходных и результирующих кодов 4В/5В 


После разбиения получившийся код 4В/5В передается по линии путем преобразования 
с помощью какого-либо из методов потенциального кодирования, чувствительного только 
к длинным последовательностям нулей. Таким кодом является, например, МК/1. Символы 
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кода 4В/5В длиной 5 бит гарантируют, что при любом их сочетании на линии не встретятся 
более трех нулей подряд. 


ПРИМЕЧАНИЕ — м 


Буква В в названии кода 4В/5В означает, что элементарный сигнал имеет два состояния (от англий- 
ского Ыпагу — двоичный). Имеются также коды и с тремя состояниями сигнала, например, в коде 
8В/6Т для кодирования 8 бит исходной информации используется код из 6 сигналов, каждый из 
которых имеет три состояния. Избыточность кода 8В/6Т выше, чем кода 4В/5В, так как на 256 ис- 
ходных кодов приходится 36 = 729 результирующих символов. 


Использование таблицы перекодировки является очень простой операцией, поэтому этот 
подход не усложняет сетевые адаптеры и интерфейсные блоки коммутаторов и маршру- 
тизаторов. 


Для обеспечения заданной пропускной способности линии передатчик, использующий 
избыточный код, должен работать с повышенной тактовой частотой. Так, для передачи 
кодов 4В/5В со скоростью 100 Мбит/с требуется тактовая частота 125 МГц. При этом 
спектр сигнала на линии расширяется по сравнению со случаем, когда по линии передается 
не избыточный код. Тем не менее спектр избыточного потенциального кода оказывается 
уже спектра манчестерского кода, что оправдывает дополнительный этап логического 
кодирования, а также работу приемника и передатчика на повышенной тактовой частоте. 


Чем ближе к единице соотношение числа исходных символов к общему числу символов, 
тем незначительнее становится повышение тактовой частоты передатчика. В скоростных 
версиях 10С ЕФегпе и 100С Е\фегпе{ применяется избыточный код 64В/66В. 


Существуют два метода, улучшающих биполярный код АМІ и основанных на искусствен- 
ном искажении последовательности нулей запрещенными символами. 


Рисунок 7.5 иллюстрирует использование метода В87$ (В!ро|аг мі 8-2егоѕ Зи ийоп) 
и метода НОВЗ (Н!2Ъ-Оепзку ВіроІаг 3-Гегоз) для корректировки кода АМІ. Исходный 
код состоит из двух длинных последовательностей нулей: в первом случае — из восьми, 
а во втором — из пяти. 


Код В87.5 исправляет только последовательности, состоящие из 8 нулей. Для этого он 
после первых трех нулей вместо оставшихся вставляет пять цифр: У-1*-0-У-1*. Здесь У 
обозначает сигнал единицы, запрещенной для данного такта полярности, то есть сигнал, не 
изменяющий полярность предыдущей единицы, 1* — сигнал единицы корректной поляр- 
ности (знак звездочки отмечает тот факт, что в исходном коде в этом такте была не единица, 
а ноль). В результате на 8 тактах приемник наблюдает 2 искажения — очень маловероятно, 
что это случилось из-за шума на линии или других сбоев передачи. Поэтому приемник 
считает такие нарушения кодировкой 8 последовательных нулей и после приема заменяет 
их исходными 8 нулями. Код В845 построен так, что его постоянная составляющая равна 
нулю при любых последовательностях двоичных цифр. 


Код НОВЗ исправляет любые четыре подряд идущих нуля в исходной последовательности. 
Правила формирования кода НОВЗ более сложные, чем кода В875. Каждые четыре нуля 
заменяются четырьмя сигналами, в которых имеется один сигнал У. Для подавления по- 
стоянной составляющей полярность сигнала У чередуется при последовательных заменах. 
Кроме того, для замены используются два образца четырехтактовых кодов. Если перед 
заменой исходный код содержал нечетное число единиц, то задействуется последователь- 
ность 000У, а если число единиц было четным — последовательность 1*00У. 
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Рис. 7.5. Коды В87$ и НОВЗ 
МК2 2819 В825 4В/5В 
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М — скорость передачи данных, бит/с; 
А — амплитуда сигнала 


Рис. 7.6. Спектры потенциальных и импульсных кодов 


Улучшенные потенциальные коды обладают достаточно узкой полосой пропускания для лю- 
бых последовательностей единиц и нулей, которые встречаются в передаваемых данных. На 
рис. 7.6 приведены спектры сигналов разных кодов, полученные при передаче произвольных 
данных, в которых различные сочетания нулей и единиц в исходном коде равновероятны. 
При построении графиков спектр усреднялся по всем возможным наборам исходных после- 
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довательностей. Естественно, что результирующие коды могут иметь и другое распределение 
нулей и единиц. Из рисунка видно, что потенциальный код МъК7. обладает хорошим спект- 
ром с одним недостатком — у него имеется постоянная составляющая. Коды, полученные 
из потенциального путем логического кодирования, обладают более узким спектром, чем 
манчестерский, даже при повышенной тактовой частоте (на рисунке спектр кода 4В/5В 
должен был бы примерно совпадать с кодом В875, но он сдвинут в область более высоких 
частот, так как его тактовая частота повышена на 1/4 по сравнению с другими кодами). Этим 
объясняется применение потенциальных избыточных и скремблированных (см. ниже) кодов 
в современных технологиях, подобных ЕО ПТ, Еаѕё Есћегпеѓ, СлраБи Есһегпеѓ, 1$ ОМ и т. п. 
вместо манчестерского и биполярного импульсного кодирования. 


Избавиться от длинных последовательностей нулей в коде помогает такой прием, как 
скремблирование — «перемешивание» битов кода в соответствии с определенным алго- 
ритмом, позволяющим приемнику выполнить обратное преобразование. 


($) Скремблирование и компрессия данных 


Кодирование дискретной информации 
аналоговыми сигналами 


При передаче дискретной информации посредством аналоговых сигналов единицы и нули 
кодируются изменением: 


Ц амплитуды (как в примере на рис. 7.3); 
Ц частоты; 
О или фазы несущего синусоидального сигнала. 


В случае, когда модулированные сигналы передают дискретную информацию, вместо тер- 
мина «модуляция» иногда используется термин манипуляция: амплитудная манипуляция 
(Атріієиде ЗЫй Кеуше, АЗК); частотная манипуляция (Егедиепсу $ Кеуіпр, ЕЅК); 
фазовая манипуляция (Рһаѕе Зый Кеушэ, РЅК). 


Пожалуй, самый известный пример применения модуляции при передаче дискретной инфор- 
мации — это передача компьютерных данных по телефонным каналам с помощью модема. 
Типичная амплитудно-частотная характеристика канала тональной частоты представлена 
на рис. 7./. Этот составной канал проходит через коммутаторы телефонной сети и соединя- 
ет телефоны абонентов. Канал тональной частоты передает частоты в диапазоне от 300 до 
3400 Гц, то есть полоса пропускания равна 3100 Гц. Хотя полоса пропускания тонального 
канала уже спектра голоса, составляющего примерно 10 кГц, она достаточна для качествен- 
ной передачи голоса (в чем мы убеждаемся, разговаривая по телефону). Однако, как было 
показано ранее в разделе «Спектр информационного сигнала», она не подходит для передачи 
компьютерных данных в виде прямоугольных импульсов с приемлемой битовой скоростью. 
Решение проблемы было найдено благодаря аналоговой модуляции. Устройство, которое вы- 
полняет функцию модуляции несущей синусоиды на передающей стороне и обратную функ- 
цию демодуляции на приемной стороне, носит название модем (модулятор-демодулятор). 


На рис. 7.8 показаны различные типы модуляции, применяемые при передаче дискретной 
информации. Исходная последовательность битов передаваемой информации приведена 
на диаграмме (рис. 7.8, а). 
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ПРИМЕЧАНИЕ 


Как мы знаем, ширина спектра амплитудно-модулированного сигнала равна 2М, где М — тактовая 
частота передатчика, равная скорости передачи данных. Ширина спектра должна быть уже полосы 
пропускания тонального канала, то есть 2М < 3100 Гц. Отсюда следует, что при амплитудной мо- 
дуляции с двумя состояниями на телефонном канале скорость передатчика ограничена значением 


1550 бит/с. Модемы, которые достигают более высоких скоростей, используют другие виды анало- 
говой модуляции. 


Полоса пропускания 3100 Гц 


300 3000 3400 4000 


Рис. 7.7. Амплитудно-частотная характеристика канала тональной частоты 
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Рис. 7.8. Различные типы модуляции 


При амплитудной модуляции для логической единицы выбирается один уровень амплиту- 
ды синусоиды несущей частоты, а для логического нуля — другой (рис. 7.8, 6). Этот способ 
редко используется в чистом виде на практике из-за низкой помехоустойчивости, но весьма 
часто применяется в сочетании с другим видом модуляции — фазовой модуляцией. 
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При частотной модуляции значения нуля и единицы исходных данных передаются синусо- 
идами с различной частотой — ри (рис. 7.8, в). Этот способ модуляции не требует слож- 
ных схем и обычно применяется в низкоскоростных модемах, работающих на скоростях 
300 и 1200 бит/с. При использовании только двух частот за один такт передается один бит 
информации, поэтому такой способ называется двоичной частотной манипуляцией (Віпагу 
ЕК, ВЕЗК). Могут также использоваться четыре различные частоты для кодирования 
двух битов информации в одном такте — такой способ носит название четырехуровневой 
частотной манипуляции (Ююиг-еуе| ЕЅК). Применяется также название многоуровневая 
частотная манипуляция (Ми !Шеуе| ЕЅК, МЕЅК). 


При фазовой модуляции значениям данных 0 и 1 соответствуют сигналы одинаковой 
частоты, но различной фазы, например, 0 и 180° или 0, 90, 180 и 270° (рис. 7.8, г). В первом 
случае такая модуляция носит название двоичной фазовой манипуляции (Віпагу РЅК, 
ВРЗК), а во втором — квадратурной фазовой манипуляции (Опа4гаиге РК, ОРЅК). 


Для повышения скорости передачи данных прибегают к комбинированным методам 
модуляции. Наиболее распространенными являются методы квадратурной амплитудной 
модуляции (Оца4га(иге Атріісийе Модшайоп, ОАМ). Эти методы основаны на сочетании 
фазовой и амплитудной модуляции. На рис. 7.9 показана фазовая диаграмма одного из 
вариантов квадратурной амплитудной модуляции, в котором используется восемь различ- 
ных значений фазы и четыре значения амплитуды. Однако из 32 возможных комбинаций 
сигнала задействовано только 16, так как разрешенные значения амплитуд у соседних 
фаз должны отличаться. Например, если (А2, 0°) является разрешенной комбинацией, то 
(А2, 45°) — запрещена, так как 0`и 45' являются соседними фазами. Это повышает поме- 
хоустойчивость кода, но вдвое снижает скорость передачи данных. Каждая комбинация 
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Рис. 7.9. Квадратурная амплитудная модуляция с 16 состояниями сигнала 
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является одним из 16 состояний информационного параметра — за каждый такт передается 
4 бита данных (0000 или 0001... или 1111). 


Наряду с фазовыми диаграммами существует и другой тип диаграмм, называемых диаграм- 
мами созвездий (сопѕѓеабіоп Ч1аёгат) ОАМ, которые показывают не фазы и амплитуды 
результирующих символов кода ОАМ, а амплитуды двух синусоид, с помощью которых 
обычно на практике получают сигналы этого кода. Несложные тригонометрические пре- 
образования показывают, что для получения символа кода ОАМ можно суммировать 
две синусоиды, одна из которых имеет фазу 0, а другая сдвинута на 90°, то есть имеет 
квадратурную фазу (отсюда и произошло название метода). Меняя амплитуды этих со- 
ставляющих синусоид, можно получить заданную амплитуду и фазу результирующего 
сигнала-символа ОАМ. 


Другим решением, повышающим надежность кода за счет введения избыточности, являют- 
ся так называемые решетчатые коды. В этих кодах к каждым четырем битам информации 
добавляется пятый бит, который даже при наличии ошибок позволяет с большой степенью 
вероятности определить правильный набор четырех информационных битов. 


Обнаружение и коррекция ошибок 
Методы обнаружения ошибок 


Методы обнаружения ошибок основаны на передаче в составе блока данных избыточной 
служебной информации, по которой можно судить с некоторой степенью вероятности 
о достоверности принятых данных. В сетях с коммутацией пакетов такой единицей инфор- 
мации может быть протокольная единица данных любого уровня, но для определенности 
будем считать, что мы контролируем кадры. 


Избыточную служебную информацию принято называть контрольной суммой или кон- 
трольной последовательностью кадра (Егате СћесКк Зедиепсе, ЕСЅ). Контрольная сумма 
вычисляется как функция от основной информации, причем не обязательно путем сумми- 
рования. Принимающая сторона повторно вычисляет контрольную сумму кадра по извест- 
ному алгоритму и в случае ее совпадения с контрольной суммой, вычисленной передающей 
стороной, делает вывод о том, что данные были переданы через сеть корректно. Рассмотрим 
несколько распространенных алгоритмов вычисления контрольной суммы, отличающихся 
вычислительной сложностью и способностью обнаруживать ошибки в данных. 


Контроль по паритету представляет собой наиболее простой метод контроля данных. 
В то же время это наименее мощный алгоритм контроля, так как с его помощью можно 
обнаруживать только одиночные ошибки в проверяемых данных. Метод заключается 
в суммировании по модулю 2 всех битов контролируемой информации. Нетрудно за- 
метить, что для информации, состоящей из нечетного числа единиц, контрольная сумма 
всегда равна 1, а при четном числе единиц — 0. Например, для данных 100101011 резуль- 
татом контрольного суммирования будет значение 1. Результат суммирования также 
представляет собой один дополнительный бит данных, который пересылается вместе 
с контролируемой информацией. При искажении в процессе пересылки любого одного 
бита исходных данных (или контрольного разряда) результат суммирования будет от- 
личаться от принятого контрольного разряда, что говорит об ошибке. Однако двойная 
ошибка, например 110101010, будет неверно принята за корректные данные. Поэтому 
контроль по паритету применяется к небольшим порциям данных, как правило, к каж- 
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дому байту, что дает для этого метода коэффициент избыточности 1/8. Отметим, метод 
редко используется в компьютерных сетях из-за значительной избыточности и невысо- 
ких диагностических возможностей. 


Вертикальный и горизонтальный контроль по паритету представляет собой модификацию 
описанного метода. Его отличие состоит в том, что исходные данные рассматриваются 
в виде матрицы, строки которой составляют байты данных. Контрольный разряд под- 
считывается отдельно для каждой строки и для каждого столбца матрицы. Этот метод по- 
зволяет обнаруживать ббльшую часть двойных ошибок, однако он обладает еще большей 
избыточностью. На практике этот метод сейчас также почти не применяется при передаче 
информации по сети. 


Циклический избыточный контроль (Сусс Кедипдапсу СВеск, СКС) является в на- 
стоящее время наиболее популярным методом контроля в вычислительных сетях (и не 
только в сетях — например, этот метод широко применяется при записи данных на гибкие 
и жесткие диски). Метод основан на представлении исходных данных в виде одного много- 
разрядного двоичного числа. Например, кадр стандарта Еёћегпеѓ, состоящий из 1024 байт, 
рассматривается как одно число из 8192 бит. Контрольной информацией считается остаток 
от деления этого числа на известный делитель К. Обычно в качестве делителя выбирается 
семнадцати- или тридцатитрехразрядное число, чтобы остаток от деления имел длину 
16 разрядов (2 байта) или 32 разряда (4 байта). При получении кадра данных снова вы- 
числяется остаток от деления на тот же делитель К, но при этом к данным кадра добавля- 
ется содержащаяся в нем контрольная сумма. Если остаток от деления на К равен нулю, 
то делается вывод об отсутствии ошибок в полученном кадре (в противном случае кадр 
считается искаженным). 


Этот метод обладает более высокой вычислительной сложностью, но его диагностические 
возможности гораздо выше, чем у методов контроля по паритету. Метод СКС позволяет 
обнаруживать все одиночные ошибки, двойные ошибки и ошибки в нечетном числе 
битов. Кроме того, метод обладает невысокой степенью избыточности. Например, для 
кадра Есћегпеѓ размером 1024 байта контрольная информация длиной 4 байта составляет 
только 0,4 %. 


Методы коррекции ошибок 


Техника кодирования, которая позволяет приемнику не только понять, что присланные 
данные содержат ошибки, но и исправить их, называется прямой коррекцией ошибок 
(Еогуага Еггог Соггес(іоп, ЕЕС). Коды, которые обеспечивают прямую коррекцию оши- 
бок, требуют введения большей избыточности в передаваемые данные, чем коды, только 
обнаруживающие ошибки. 


При применении любого избыточного кода не все комбинации кодов являются разрешен- 
ными. Например, контроль по паритету делает разрешенными только половину кодов. 
Если мы контролируем три информационных бита, то разрешенными 4-битными кодами 
с дополнением до нечетного количества единиц будут следующие: 


000 1, 0010, 0100, 011 1, 1000, 101 1, 110 1, 1110 


То есть всего 8 кодов из 16 возможных. 


Чтобы оценить количество дополнительных битов, требуемых для исправления ошибок, 
нужно знать так называемое расстояние Хемминга между разрешенными комбинациями 
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кода. Расстоянием Хемминга называется минимальное число битовых разрядов, в которых 


отличается любая пара разрешенных кодов. Для схем контроля по паритету расстояние 
Хемминга равно 2. 


Можно доказать, что если мы сконструировали избыточный код с расстоянием Хемминга, 
равным л, то такой код будет в состоянии распознавать (п- 1)-кратные ошибки и исправ- 
лять (п-1)/2-кратные ошибки. Так как коды с контролем по паритету имеют расстояние 
Хемминга, равное 2, то они могут только обнаруживать однократные ошибки и не могут 
исправлять ошибки. 


Коды Хемминга эффективно обнаруживают и исправляют изолированные ошибки, то 
есть отдельные искаженные биты, которые разделены большим количеством корректных 
битов. Однако при появлении длинной последовательности искаженных битов (пульсации 
ошибок) коды Хемминга не работают. 


Пульсации ошибок характерны для беспроводных каналов, в которых применяют сверточ- 
ные коды. Поскольку для распознавания наиболее вероятного корректного кода в этом 
методе применяется решетчатая диаграмма, то такие коды еще называют решетчатыми. 
Эти коды используются не только в беспроводных каналах, но и в модемах. 


Методы прямой коррекции ошибок особенно эффективны для технологий физического 
уровня, которые не поддерживают сложные процедуры повторной передачи данных в слу- 
чае их искажения. Примерами таких технологий являются ЗОН и ОТМ (см. главы 8 и 9). 


Кодирование аналоговой информации 


Кодирование аналоговой информации 
аналоговыми сигналами 


Исторически модуляция начала применяться именно для кодирования аналоговой инфор- 
мации и только потом — для дискретной. 


Необходимость в модуляции аналоговой информации возникает, когда нужно пере- 
дать низкочастотный аналоговый сигнал через канал, находящийся в высокочастотной 
области спектра. Примером такой ситуации является передача голоса по радио или 
телевидению. Голос имеет спектр шириной примерно в 10 кГц, а радиодиапазоны вклю- 
чают гораздо более высокие частоты, от 30 кГц до 300 МГц. Еще более высокие частоты 
используются в телевидении. Очевидно, что непосредственно голос через такую среду 
передать нельзя. 


Для решения проблемы амплитуду высокочастотного несущего сигнала изменяют (мо- 
дулируют) в соответствии с изменением низкочастотного голосового сигнала (рис. 7.10). 
При этом спектр результирующего сигнала попадает в нужный высокочастотный диапа- 
зон. Такой тип модуляции называется амплитудной модуляцией (АтрШи4е МодщаЧоп, 
АМ). 

В качестве информационного параметра используют не только амплитуду несущего сину- 
соидального сигнала, но и частоту. В этих случаях мы имеем дело с частотной модуляцией 
(Егедиепсу Модшайоп, ЕМ). Заметим, что при модуляции аналоговой информации фаза 
как информационный параметр не применяется. 
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Рис. 7.10. Модуляция голосовым сигналом 


Кодирование аналоговой информации 
дискретными сигналами 


В предыдущем разделе мы познакомились с преобразованием дискретной формы пред- 
ставления информации в аналоговую. В этом разделе рассматривается решение обратной 
задачи — передачи аналоговой информации в дискретной форме. Такая задача решается 
в системах цифровых телефонии, радио и телевидения. 


Начиная с 60-х годов прошлого века голос начал передаваться по телефонным сетям 
в цифровой форме, то есть в виде последовательности единиц и нулей. Основная причина 
перехода — невозможность улучшения качества данных, переданных в аналоговой форме, 
если они существенно исказились при передаче. Сам аналоговый сигнал не дает никаких 
указаний ни на то, что произошло искажение, ни на то, как его исправить, поскольку 
форма сигнала может быть любой, в том числе такой, которую зафиксировал приемник. 
Улучшение же качества линий, особенно территориальных, требует огромных усилий 
и капиталовложений. Поэтому на смену аналоговой технике записи и передачи звука 
и изображений пришла цифровая техника. 


В этой технике используется так называемая дискретная модуляция исходных непре- 
рывных во времени аналоговых процессов. Амплитуда исходной непрерывной функции 
измеряется с заданным периодом — за счет этого происходит дискретизация по времени. 
Затем каждый замер представляется в виде двоичного числа определенной разрядности, 
что означает дискретизацию по значениям — непрерывное множество возможных значений 
амплитуды заменяется дискретным множеством ее значений. 


Устройство, которое выполняет подобную функцию, называется аналого-цифровым 
преобразователем (АЦП). Затем замеры передаются по линиям связи в виде последова- 
тельности единиц и нулей. При этом применяются те же методы кодирования (с ними мы 
познакомимся позднее), что и при передаче изначально дискретной информации. 


На приемной стороне линии коды преобразуются в исходную последовательность битов, 
а специальная аппаратура, называемая цифро-аналоговым преобразователем (ЦАП), про- 
изводит демодуляцию оцифрованных амплитуд, восстанавливая исходную непрерывную 
функцию времени. 
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Устройство, которое может выполнять функции как АЦП, так и ЦАП, называется кодеком. 


Дискретная модуляция основана на теореме отображения Котельникова — Найквиста. В со- 
ответствии с этой теоремой аналоговая непрерывная функция, переданная в виде последова- 
тельности ее дискретных по времени значений, может быть точно восстановлена, если частота 
дискретизации была в два или более раз выше, чем частота самой высокой гармоники спектра 
исходной функции. 


Если это условие не соблюдается, то восстановленная функция будет отличаться от ис- 
ХОДНОЙ. 


Преимуществом цифровых методов записи, воспроизведения и передачи аналоговой ин- 
формации является возможность контроля достоверности считанных с носителя или полу- 
ченных по линии связи данных. Для этого можно применять те же методы, что и в случае 
компьютерных данных: вычисление контрольной суммы, повторная передача искаженных 
кадров, применение самокорректирующихся кодов. 


Для представления голоса в цифровой форме используются различные методы его дис- 
кретизации. Наиболее простой метод оцифровывания голоса, в котором применяется ча- 
стота квантования амплитуды звуковых колебаний в 8000 Гц, уже был кратко рассмотрен 
в главе 3 в разделе «Коммутация каналов». Он известен как метод импульсно-кодовой 
модуляции (Ри|5е Соде Моацшаѓіоп, РСМ). 


Обоснование выбранной частоты квантования в методе РСМ достаточно простое. Оно 
объясняется тем, что в аналоговой телефонии для передачи голоса был выбран диапазон 
от 300 до 3400 Гц, который достаточно качественно передает все основные гармоники 
собеседников. В соответствии с теоремой Найквиста — Котельникова для качественной 
передачи голоса достаточно выбрать частоту дискретизации, в два раза превышающую 
самую высокую гармонику непрерывного сигнала, то есть 2 х 3400 = 6800 Гц. Выбранная 
в действительности частота дискретизации 8000 Гц обеспечивает некоторый запас качества. 
В методе РСМ обычно используется 7 или 8 бит кода для представления амплитуды одного 
замера. Соответственно это дает 127 или 256 градаций звукового сигнала, что оказывается 
вполне достаточно для качественной передачи голоса. 


При использовании метода РСМ для передачи одного голосового канала необходима про- 
пускная способность 56 или 64 Кбит/с в зависимости от того, каким количеством битов 
представляется каждый замер. Если для этих целей применяется 7 бит, то при частоте 
передачи замеров в 8000 Гц получаем: 8000 х 7 = 56 000 бит/с, или 56 Кбит/с; а для случая 
8 бит: 8000 х 8 = 64 000 бит/с, или 64 Кбит/с. 


Напомним, стандартным является цифровой канал 64 Кбит/с, который также называется 
элементарным каналом цифровых телефонных сетей; канал 56 Кбит/с применялся на 
ранних этапах существования цифровой телефонии, когда один бит из байта, отведенного 
для передачи данных, изымался для передачи номера вызываемого абонента. 


Передача непрерывного сигнала в дискретном виде требует от сетей жесткого соблюдения 
временного интервала в 125 мкс (соответствующего частоте дискретизации 8000 Гц) между 
соседними замерами, то есть требует синхронной передачи данных между узлами сети. 
При отсутствии синхронности прибывающих замеров исходный сигнал восстанавливает- 
ся неверно, что приводит к искажению голоса, изображения или другой мультимедийной 
информации, передаваемой по цифровым сетям. Так, искажение синхронизации в 10 мс 
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может привести к эффекту «эха», а сдвиги между замерами в 200 мс приводят к невозмож- 
ности распознавания произносимых слов. 


В то же время потеря одного замера при соблюдении синхронности между остальными 
замерами практически не сказывается на воспроизводимом звуке. Это происходит за счет 
сглаживающих устройств в цифро-аналоговых преобразователях, работа которых основана 
на свойстве инерционности любого физического сигнала — амплитуда звуковых колебаний 
не может мгновенно измениться на значительную величину. 


Мультиплексирование и коммутация 


Для повышения эффективности использования физической линии связи применяют 
различные методы разделения этой линии между несколькими логическими каналами 
(потоками) данных пользователей сети. Действительно, услуги оптоволоконной линии 
связи, по которой параллельно передаются данные сеансов связи многих пар пользова- 
телей, будут гораздо доступнее, чем при ее индивидуальном использовании. При этом 
возникают следующие задачи: 


О мультиплексирование, то есть образование из нескольких потоков общего агрегиро- 
ванного потока; 


О демультиплексирование — разделение агрегированного потока на составляющие его 
потоки; 


О коммутация — переключение потоков между портами сетевых устройств для соедине- 
ния пользователей сети. 


Очевидно, что способы реализации мультиплексирования, демультиплексирования и ком- 
мутации в одной и той же сети должны быть согласованными и построенными на единых 
принципах. Такой общей основой для каждой «тройки» задач может служить один из 
следующих методов мультиплексирования: 


О частотное мультиплексирование (Егедиепсу Ріхіѕіоп Ми[арехтв, ЕОМ); 
О волновое мультиплексирование (Мауе Піуіѕіоп Мшар|ехтя, МОМ); 
О временнбе мультиплексирование (Тіте РЮіуіѕіоп МшШирехтя, ТОМ). 


Методы ЕОМ и УРМ пригодны исключительно для сетей с коммутацией каналов. Вре- 
меннӧбе мультиплексирование ТОМ имеет две существенно отличающиеся разновидно- 
сти — асинхронное и синхронное разделение времени. Асинхронный метод ТОМ является 
основой пакетных сетей, а синхронный вариант ТОМ используется в сетях с коммутацией 
каналов. 


Применение того или иного метода мультиплексирования влечет за собой применение 
метода коммутации, базирующегося на том же принципе. 


Мультиплексирование и коммутация на основе 
методов ЕОМ и МОМ 


Техника частотного мультиплексирования (ЕОМ) была разработана для телефонных се- 
тей, но применяется она и для других видов сетей, например беспроводных сетей. Основная 
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идея метода — ввыделении каждому соединению собственного диапазона (полосы) частот 
В общей полосе пропускания линии связи. 


На основе этого диапазона создается канал. Данные, передаваемые в канале, модулируются 
с помощью одного из описанных ранее методов с использованием несущей частоты, при- 
надлежащей Диапазону канала. Мультиплексирование выполняется с помощью смесителя 
частот, а демультиплексирование — с помощью узкополосного фильтра, ширина которого 
равна ширине диапазона канала. 


Рассмотрим особенности этого вида мультиплексирования на примере телефонной сети. 


На входы ЕОМ-мультиплексора поступают исходные сигналы от абонентов телефонной 
сети (в нашем примере их 12). Мультиплексор переносит сигнал каждого канала в выделен- 
ную каналу полосу частот за счет модуляции новой несущей частоты, принадлежащей этой 
полосе. Чтобы низкочастотные составляющие сигналов разных каналов не смешивались 
между собой, полосы делают шириной в 4 кГц, а нев 3,1 кГц (ширина полосы пропускания 
канала тональной частоты), оставляя между ними страховочный промежуток в 900 Гц 
(рис. 7.11). В линии связи между двумя ЕОМ-устройствами одновременно передаются 
сигналы всех 12 абонентских каналов, но каждый из них занимает свою полосу частот. 
Такой канал называют уплотненным. 


Р(частота) 


РОМ- 


коммутатор 


Абонент 1 __%| Абонент А 


Абонент 2 _—%| Абонент В 


Абонент 12 “Ф| Абонент С 


^ 12 каналов 
абонентов 


Рис. 7.11. Мультиплексирование/демультиплексирование и коммутация на основе ЕОМ 


Выходной ЕОМ-демультиплексор выделяет модулированные сигналы каждой несущей 
частоты и передает их на коммутирующий блок, который переключает поступившие сиг- 
налы на соответствующие выходные каналы, к которым непосредственно подключены 
абонентские телефоны. 


ЕОМ-коммутаторы могут выполнять как динамическую, так и постоянную коммутацию. 
При динамической коммутации один абонент инициирует соединение с другим абонентом, 
посылая в сеть его номер, и коммутатор выделяет данному абоненту одну из свободных по- 
лос своего уплотненного канала на время сеанса связи. Типичным представителем динами- 
ческого коммутатора является коммутатор аналоговой телефонной станции. При постоян- 
ной коммутации администратор сети закрепляет полосу за абонентом на длительный срок. 


Принцип коммутации на основе разделения частот остается неизменным и в других, от- 
ЛИЧНЫХ ОТ телефонных, сетях. Меняются только границы полос, выделяемых отдельному 
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абонентскому каналу, а Также количество низкоскоростных каналов в высокоскоростном 
канале. 


В методе волнового мультиплексирования (технология \ЮМ с ее двумя разновидностя- 
ми — С\ЮМ и О\ЮМ) используется тот же принцип частотного разделения каналов, но 
только в другой области электромагнитного спектра. Для организации \/ОМ-каналов в во- 
локонно-оптическом кабеле задействуют волны инфракрасного диапазона длиной от 850 до 
1565 нм. В магистральном канале мультиплексируется до нескольких десятков спектральных 
каналов. Отличие сетей МПМ от сетей ЕОМ заключается в предельных скоростях передачи 
информации. Если сети ЕОМ обычно обеспечивают на магистральных каналах одновре- 
менную передачу до 600 разговоров, что соответствует суммарной скорости в 36 Мбит/с, 
то сети ОМУ ЮМ обладают пропускной способностью до сотен гигабитов и даже нескольких 
терабитов в секунду. Технология О\/ОМ подробно рассматривается в главе 9, а применение 
С\УРМ описано в разделах главы 10, посвященной высокоскоростным версиям Еёћегпеї. 


Мультиплексирование и коммутация на основе 
метода ТОМ 


ЕЮ М-мультиплексирование разрабатывалось в расчете на передачу голосовых аналоговых 
сигналов. Переход к иифровой форме представления голоса стимулировал разработку 
новой техники мультиплексирования, ориентированной на дискретный характер пере- 
даваемых данных и носящей название мультиплексирования с разделением времени или 
временного мультиплексирования (ТОМ). 


Принцип временного мультиплексирования заключается в выделении канала каждому 
соединению на определенный период времени. Применяются два типа временного муль- 
типлексирования — асинхронный и синхронный. С асинхронным режимом ТОМ мы уже 
знакомы — он применяется в сетях с коммутацией пакетов. Каждый пакет занимает канал 
определенное время, необходимое для его передачи между конечными точками канала. 


Между различными информационными потоками нет синхронизации, каждый поль- 
зователь пытается занять канал тогда, когда у него возникает потребность в передаче 
информации. Если такой возможности нет, то пакет целиком буферизуется и ожидает 
в очереди буфера момента освобождения канала. Таким образом, данные пользователей 
сети с коммутацией пакетов разделяют канал во времени асинхронно, не координируя свои 
действия друг с другом. 


Рассмотрим теперь синхронный режим ТОМ!. В этом режиме доступ всех пользователь- 
ских информационных потоков к разделяемому каналу синхронизируется таким образом, 
чтобы каждый информационный поток периодически получал канал в свое распоряжение 
на фиксированный и одинаковый для всех потоков промежуток времени, называемый 
тайм-слотом. 


Аппаратура разделяемого канала последовательно предоставляет тайм-слот очередному 
пользовательскому потоку, который в течение этого кванта времени передает в разделяемый 
канал порцию данных (например, один байт). Период времени, в течение которого все поль- 
зовательские потоки получат по одному тайм-слоту доступа к каналу, называется циклом 


1 Когда аббревиатура ТОМ используется без уточнения режима работы, всегда подразумевается 
синхронный режим ТОМ. 
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работы канала и аппаратуры, его образующей. Следовательно, тайм-слот равен величине 
цикла, деленной на количество мультиплексируемых пользовательских потоков. Например, 
при мультиплексировании оцифрованных голосовых каналов цикл равен 125 мкс, и при 24 
абонентских каналах, обслуживаемых мультиплексором, тайм-слот будет составлять 5,2 мкс. 


Данные, принятые от всех пользовательских потоков за один цикл, образуют кадр. Кадр 
может включать, кроме информации пользовательских потоков, и служебную инфор- 
мацию, например, синхробиты или синхробайты, позволяющие устройствам ТОМ рас- 
познавать начало каждого кадра и, следовательно, правильно соотносить данные каждого 
тайм-слота с абонентом сети. Байт, считываемый из определенного пользовательского 
потока в каждом цикле, занимает в кадре всегда одну и ту же позицию. Тем самым порядко- 
вый номер байта в кадре (или однозначно связанные с ним порядковый номер тайм-слота 
либо номер интерфейса) является адресом абонентского потока в канале. Именно на этих 
адресах основана коммутация в сетях ТОМ. 


Принцип работы мультиплексора ТОМ иллюстрируется рис. 7.12. 


Мультиплексор ТОМ 


Е Байт 
Буфер Байт абонента 4 
абонен- 
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Байт нента 2 . 

байт Байт 


ее ЕР ре абонента 1 


та 1 
52 Е ЕО ТЕ 1 Ё 
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байт Буфер <, 
Е ЛЬ А 


т. ЕЕ 


Данные абонента 3, битовая скорость У бит/с 


Данные абонента 1, битовая скорость У бит/с 


Данные выходного канала, 
байт Буфер битовая скорость 4х\ бит/с 


И ЕЁ. |, мультиплексирование 


Данные абонента 4, битовая скорость \ бит/с 


Рис. 7.12. Мультиплексирование голосовых потоков на основе техники ТОМ 


Мультиплексор входит в состав комбинированного терминального устройства, которое 
включает также кодек, который оцифровывает голосовые сигналы четырех абонентов, по- 
ступающие в аналоговом виде на его входы. Кодек производит по одному байту цифрового 
кода голоса каждого абонента каждые 125 мкс, так что на каждый вход мультиплексора 
поступает битовый поток со скоростью 64 Кбит/с. Мультиплексор помещает поочередно 
по одному байту данных от каждого из четырех пользователей на выходной канал, рабо- 
тающий со скоростью 4 х 64 = 256 Кбит/с. Величина тайм-слота, выделяемого каждому 
абоненту в течение цикла 125 мкс, равна 125/4 = 31,25 мкс. 


Кодек и мультиплексор работают согласованно и синхронно, так как являются блоками 
одного и того же комбинированного устройства. К моменту завершения первого тайм-слота 
кодек производит байт данных второго абонента и помещает его в буфер мультиплексора, 
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отведенный для данных второго абонента. Мультиплексор извлекает его из буфера и пере- 
дает его побитно на выходной канал в течение второго тайм-слота цикла. Этот процесс 
повторяется с байтами третьего и четвертого абонентов, на чем цикл завершается. За 
время цикла мультиплексор передал на выходной канал байты всех абонентов, тем самым 
завершив передачу кадра выходного канала. 


Демультиплексирование кадра агрегированного канала выполняется в обратном порядке, 
за один цикл работы демультиплексора байты по очереди принимаются из высокоско- 
ростного канала и помещаются в буферы абонентских каналов. Биты первого байта кадра 
принимаются в течение первого тайм-слота, второго — в течение второго тайм-слота и так 
далее. После принятия очередного байта кодек производит цифро-аналоговое преобразо- 
вание кода и передает звуковой аналоговый сигнал соответствующему абоненту. Циклы 
повторяются, и сигналы каждому абоненту поступают с частотой 8 кГц, достаточной, как 
мы знаем, для качественного воспроизведения голоса. 


Теперь рассмотрим, каким образом происходит коммутация каналов в сети, работающей 
по принципу синхронного ТОМ. 


Буферная память 


Чтение 


---—>- 


Линия Т-1 Линия Т-1 


Коммутатор $1 


Элементарные Мультиплексор М1 
каналы 


Мультиплексор М2 Элементарные 
каналы 


Рис. 7.13. Коммутация на основе разделения канала во времени 


На рис. 7.13 показан фрагмент цифровой телефонной сети, использующей технику ТОМ. 
Этот фрагмент состоит из коммутатора 51 и мультиплексоров М1 и М2, которые мульти- 
плексируют и демультиплексируют оцифрованные голосовые данные 24 абонентов в со- 
ответствии с техникой ТОМ. 


Абоненты подключены к портам мультиплексоров, и номера портов подключения являются 
их идентификаторами, на основании которых в сети выполняется коммутация абонентов. 
Байты, принятые от всех 24 абонентов в течение одного цикла, упаковываются в кадр в по- 
рядке, соответствующем порядку абонентских портов. Кадр снабжен коротким заголовком 
(на рисунке не показан), позволяющим распознавать начало кадра, так, чтобы понимать, 
какой байт кадра какому тайм-слоту и соответственно какому абоненту принадлежит. 
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Задача коммутатора 51 состоит в следующем. Абонент, подключенный к абонентскому 
каналу 1 мультиплексора М1, должен быть связан с абонентом, подключенным к або- 
нентскому каналу 24 мультиплексора М2, абонент 2 мультиплексора М1 — с абонентом 1 
мультиплексора М2, а абонент 24 мультиплексора М1 — с абонентом 2 мультиплексора М2. 


Коммутатор 51 принимает кадр по скоростному каналу от мультиплексора М1 и записыва- 
ет каждый байт из него в отдельную ячейку своей буферной памяти, точно в том порядке, 
в котором байты были упакованы в кадр. Для выполнения коммутации байты извлекаются 
из буферной памяти не в порядке поступления, а в том порядке, который соответствует 
поддерживаемым в сети соединениям абонентов. В рассматриваемом примере первым из 
буферной памяти должен быть извлечен байт 2, вторым — байт 24, а последним — байт 1. 
«Перемешивая» нужным образом байты в кадре, коммутатор обеспечивает требуемое со- 
единение абонентов в сети. 


Мультиплексор М2 решает обратную задачу — он разбирает кадр на байты и распределяет 
их по своим нескольким выходным каналам, при этом он также считает, что порядковый 
номер байта в кадре соответствует номеру выходного канала. 


Мы рассмотрели операции мультиплексирования, коммутации и демультиплексирования 
в одном направлении — от абонентов мультиплексора М1 к абонентам мультиплексора М2. 
В обратном направлении все операции выглядят аналогично. 


Работа ТОМ-оборудования напоминает работу сетей с коммутацией пакетов, так как 
каждый байт данных можно считать некоторым элементарным пакетом. Однако, в отличие 
от пакета компьютерной сети, «пакет» сети ТОМ не имеет индивидуального адреса. Его 
адресом является порядковый номер в кадре или номер выделенного тайм-слота в муль- 
типлексоре или коммутаторе. Сети, использующие технику ТОМ, требуют синхронной 
работы всего оборудования, что и определило второе название этой техники — синхронный 
режим передачи (Ѕупсһгопоиѕ Тгапзег Моде, ТМ). 


Нарушение синхронности разрушает требуемую коммутацию абонентов, так как при 
этом изменяется относительное положение тайм-слота, а значит, теряется адресная 
информация. Поэтому оперативное перераспределение тайм-слотов между различными 
каналами в ТОМ-оборудовании невозможно. Даже если в каком-то цикле работы муль- 
типлексора тайм-слот одного из каналов оказывается избыточным, то, поскольку на входе 
этого канала в данный момент нет данных для передачи (например, абонент телефонной 
сети молчит), он передается пустым. 


ГЛАВА 8 Технологии первичных 
сетей РОН и ЗОН 


Принципы организации первичных сетей 


Особенности первичных сетей 


Первичные сети предназначены для создания коммутируемой инфраструктуры, с помощью 
которой можно достаточно быстро и гибко организовать постоянный канал обмена данными 
между двумя пользовательскими устройствами, подключенными к такой сети. 


Основные свойства первичных сетей состоят в следующем: 
О Они основаны на технике коммутации каналов. 


Ц Каналы первичных сетей являются статическими (постоянными), в отличие от ди- 
намических каналов телефонных сетей, предоставляя услугу канала «точка — точка» 
между двумя определенными абонентами на протяжении большого промежутка вре- 
мени — месяц, год. 


О На основе каналов, образованных первичными сетями, работают вторичные наложен- 
ные (оуегіау) компьютерные или телефонные сети. 


О Каналы первичных сетей являются магистральными каналами, они образуют высоко- 
скоростные каналы — магистрали — между крупными центрами, в которых сосредо- 
точено большое количество потребителей, которым нужны соединения между этими 
центрами. Магистральные каналы также называют агрегатными каналами, так как они 
агрегируют большое количество пользовательских потоков данных. 


Каналы, предоставляемые первичными сетями своим пользователям, отличаются высокой 
пропускной способностью — до 100-400 Гбит/с, большой протяженностью, составляющей 
сотни и тысячи километров, а также высоким качеством, что выражается в очень низком 
проценте битовых ошибок. Для обеспечения таких скоростей и таких расстояний в наи- 
большей степени подходит оптоволоконный кабель, поэтому название «оптические сети» 
прочно закрепилось в качестве еще одного названия первичных сетей, несмотря на то что 
оптоволоконные кабели применяются и в других типах сетей, например в сетях Е{Вегпей. 


Первичные сети также называют транспортными сетями, так как они предоставляют 
своим клиентам только транспортные услуги, передавая пользовательскую информацию 
«из пункта А в пункт Б» без ее изменения. Пользовательским оборудованием, использу- 
ющим каналы первичных сетей, являются как телефонные станции (для которых эти сети 
и были первоначально придуманы), так и пакетные маршрутизаторы компьютерных сетей. 
Чтобы использовать канал некоторой первичной сети для соединения двух маршрутиза- 
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торов, последние должны иметь физические порты, соответствующие стандарту данной 
первичной сети. 


Организация первичных сетей существенно отличается от организации компьютерных се- 
тей, работающих на основе принципа коммутации пакетов. Нужно предупредить читателя, 
что очень часто его знания из области сетей с коммутацией пакетов не будут помогать ему 
понять механизмы работы первичной сети — настолько они различны. 


В частности, семиуровневая модель ОЅІ, хорошо помогающая понять, как протоколы 
различных уровней обслуживают друг друга, чтобы доставить очередную порцию данных 
пользователю, здесь не применима. С ее точки зрения, все механизмы и процедуры первич- 
ной сети относятся к одному уровню — физическому. Даже кадр в технологиях первичных 
сетей имеет мало общего с кадром пакетных сетей. 


Первичные сети являются сложными системами, синхронно передающими байт за байтом 
пользовательских данных от входного интерфейса первого мультиплексора сети до выход- 
ного интерфейса последнего мультиплексора на пути от одного пользователя до другого. 
В такой сети не бывает пауз между пользовательскими данными, как это происходит 
в компьютерной сети, когда компьютер пользователя может какое-то время не выраба- 
тывать данные для передачи по сети. Слаженную работу всех устройств первичной сети 
можно сравнить с работой конвейера — в каждом такте своей работы конвейер перемещает 
объект, над которым производятся операции сборки, от одного рабочего места к другому. 
Если рабочий не успевает выполнить свою операцию за время такта конвейера, то объект 
уходит от него к следующему рабочему месту без какой-то нужной детали и исправить 
это уже невозможно. Также и в первичной сети — если очередной байт пользовательских 
данных не успел поступить на входной интерфейс мультиплексора сети вовремя из-за 
рассинхронизации оборудования пользователя и мультиплексора, то в этом такте работы 
мультиплексора очередной байт на выходном интерфейсе появляется с «пустым» содер- 
жанием. Таким образом, он не несет пользовательской информации, а появляется на вы- 
ходном интерфейсе только потому, что мультиплексор должен передать байт в этом такте, 
поскольку это предусмотрено принципом синхронной работы сети. 


Топология и типы оборудования 


Наиболее простой топологией первичной сети является совокупность нескольких от- 
дельных линий связи «точка — точка», каждая из которых связывает две географически 
разнесенные группы пользователей (рис. 8.1, а). Основными узлами такой сети являются 
мультиплексоры и демультиплексоры, функции которых часто совмещаются в одном 
устройстве, называемом также терминальным мультиплексором (Тегтіпа! Ми|ирехег, 
ТМ), так как они завершают (терминируют) линию связи. 


В некоторых случаях возникает необходимость подключения пользователей, расположен- 
ных не в конечных узлах линии связи, точка — точка, а в некотором промежуточном пункте. 
Например, в пункте К группа пользователей имеет потребность в обмене данными с точ- 
ками Еи Е. Для решения этой проблемы могли бы быть проложены два дополнительных 
канала Е-К и К-Е. Однако, если число пользователей в пункте К невелико, то такое реше- 
ние вряд ли может быть эффективным. Выход был найден путем разработки нового типа 
устройства, названного мультиплексором ввода-вывода (АЗ4-Огор Мшарехег, АОМ) 
(рис. 8.1, 6). Мультиплексор ввода-вывода первичной сети имеет два магистральных порта 
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Рис. 8.1. Простейшие топологии первичных сетей 


и сравнительно небольшое количество портов для локально подключенных пользователей. 
Мульгиплексор ввода-вывода позволяет вывести (операция Огор) из магистрального ка- 
нала подканал, направив его данные на входной интерфейс локального пользователя, или 
ввести (операция АЯ) данные локального пользователя в магистральный канал. 


Со временем некоторые первичные сети разрастаются, у них увеличивается количество 
пользователей и соответственно растет число двухточечных линий связи. Это же проис- 
ходит при слиянии нескольких первичных сетей. Топология сети приобретает сложный 
«запутанный» ячеистый вид (рис. 8.2, а). Возникает объективная необходимость связыва- 
ния преимущественных, магистральных направлений между собой. Мультиплексоры вво- 
да-вывода уже не решают эту проблему. Ключевым элементом в этих случаях становится 
цифровой кросс-коннектор (Ріріса! Сгоѕѕ-Соппесі, ОХС) — устройство, которое имеет 
несколько магистральных интерфейсов (а не один, как у терминального мультиплексора, 
или два, как у мультиплексора ввода-вывода) и может выполнять коммутацию любых 
подканалов магистральных каналов с каналами пользователей или же коммутировать два 
любых магистральных канала между собой (рис. 8.2, 6). 


Кроме того, в состав первичной сети могут входить регенераторы сигналов, необходимые 
для преодоления ограничений по расстоянию между мультиплексорами. Эти ограничения 
зависят от мощности оптических передатчиков, чувствительности приемников и затухания 
волоконно-оптического кабеля. Регенератор преобразует оптический сигнал в электриче- 
ский и обратно, при этом восстанавливается форма сигнала и его временные характери- 
стики. Регенерацию сигналов могут выполнять также мультиплексоры. 


Порты мультиплексора (рис. 8.3) делятся на агрегатные и трибутарные. Трибутарные 
порты часто называют также портами ввода-вывода, а агрегатные — линейными или ма- 
гистральными портами. Эта терминология отражает типовые топологии первичных сетей, 
где имеется ярко выраженная магистраль в виде линейной цепи или кольца, по которой 
передаются потоки данных, поступающие от оборудования пользователей сети через три- 
бутарные порты, втекающие в агрегированный поток («ігібиѓагу» дословно означает «при- 
ток»). Иногда для обозначения агрегатных портов мультиплексора используются названия 
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«Восток» и «Запад» в соответствии с их расположением (левый-правый) на диаграмме 
сети. Агрегатные порты соединяются волоконно-оптическими кабелями, а трибутарные 


порты в зависимости от их типа могут работать как на волоконно-оптические кабели, так 
и на медные. 
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Рис. 8.3. Простейшая первичная сеть 


Статичность нагрузки. Иерархия скоростей 


Еще одна особенность первичных сетей состоит в том, что нагрузка, которая поступает 
в сеть, не меняется в течение достаточно большого периода времени. Основные параме- 
тры этой нагрузки должны быть заранее известны администратору сети. Он должен знать 
скорость каждого из потоков, поступающих на каждый порт мультиплексора, являются ли 
эти данные синхронными или асинхронными, кому они предназначаются. На основании 
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этих данных должны быть сконфигурированы все устройства сети, и после этого сеть будет 
работать в таком автоматическом режиме до тех пор, пока не возникнет потребность в из- 
менении нагрузки. Эта задача упрощается за счет того, что виды нагрузки не являются 
произвольными. Исторически первичные сети специализируются на передаче синхронного 
трафика со строго определенными скоростями, кратными скорости элементарного канала 
250, например 2 Мбит/с (30 каналов 0850). 


Пользовательские потоки данных мультиплексируются в агрегатные потоки также опреде- 
ленной скорости, и скорости агрегатных потоков также образуют свою иерархию, обычно 
с постоянным коэффициентом кратности, когда скорость следующего уровня в № раз выше 
скорости предыдущего уровня. Иерархия скоростей с постоянным коэффициентом крат- 
ности облегчает организацию синхронного ТОМ-мультиплексирования потоков, так как 
всегда известно, сколько потоков одного уровня может быть мультиплексировано в поток 
другого уровня. 


Первичная сеть работает на основе постоянной конфигурации своих мультиплексоров. 
Это означает, что в каждом мультиплексоре администратором сети создаются таблицы 
мульгиплексирования и коммутации, которые определяют, как пользовательские потоки 
каждого трибутарного интерфейса без пауз и задержек мультиплексируются в агрегатные 
потоки, коммутируются на те или иные выходные порты. Эти таблицы учитывают ско- 
рости каждого потока, наличие свободных тайм-слотов в агрегатных потоках, в которые 
нужно мультиплексировать пользовательские потоки (если агрегатный поток рассчитан 
на мультиплексирование, например, 24 пользовательских потоков, то 25-й в него добавить 
уже невозможно), и возможности коммутации потоков. После того как конфигурация 
каждого мульгиплексора определена и согласована с конфигурацией остальных мульти- 
плексоров сети, сеть может начать работу. И если конфигурации мультиплексоров были 
определены администратором сети правильно, то каждый поток данных пользователя 
будет перемещаться по сети и поступит к получателю с той же скоростью, с которой он 
поступил на входной порт. 


Первичная сеть представляет довольно жесткую, статичную систему, работающую в соот- 
ветствии с одной и той же конфигурацией долговременных каналов. В первичной сети не 
существует аналогов протоколов маршрутизации компьютерных сетей, которые позволяют 
автоматически динамично учитывать изменения, происходящие в сети, — добавление но- 
вых пользователей, изменение маршрутов прохождения данных в сети и т. п. Отсутствие 
протоколов маршрутизации связано с тем, что изменения конфигурации первичной сети 
происходят редко, так что добавление таких протоколов к функциям их мультиплексоров 
не считается целесообразным. 


Первичная сеть не всегда работает с полной нагрузкой. Даже в том идеальном случае, 
когда каждый пользовательский поток постоянно передает байты, несущие полезную ин- 
формацию (мы знаем, что для компьютерного трафика это невозможно, но возможно для 
телефонного трафика в течение сеанса связи), в сети, скорее всего, имеются агрегатные 
каналы, которые в некоторых своих тайм-слотах переносят «пустоту», то есть, по сути, 
эти слоты не используются. Это происходит из-за того, что сеть всегда проектируется 
с учетом развития, то есть не на вполне определенное количество пользователей с вполне 
определенными скоростями своего оборудования, а с некоторым запасом, позволяющим 
подключать новых пользователей без необходимости покупать и устанавливать новые 
мультиплексоры. Поэтому агрегатные каналы всегда имеют запас, например, позволяя 
переносить данные 2000 пользовательских потоков определенной скорости, в то время как 
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у оператора связи имеется около 1500 пользователей. В результате около 500 тайм-слотов 
просто не используются (лотки конвейера приходят пустыми). 


При проектировании первичной сети необходимо знать или уметь предвидеть исходные 
данные о том, в каких географических точках располагаются пользователи сети, какие ско- 
рости имеет пользовательское оборудование, между какими пользователями необходимо 
обеспечить соединения и какой скорости должны быть эти соединения. Если исходные 
данные были неверны, то в результате может оказаться, что не все требуемые соединения 
можно выполнить из-за нехватки пропускной способности в некотором участке сети. Эта 
ситуация незнакома проектировщикам и администраторам компьютерных сетей, так как 
неверный выбор пропускной способности отдельных сегментов сети может привести 
к задержкам и потерям пакетов из-за переполнения очередей в буферах маршрутизаторов 
и коммутаторов, то есть снижению качества соединений, но не к полному их отсутствию. 


Функции мультиплексора 


К основным функциям мультиплексора относятся: формирование кадров, отображение 
пользовательских данных в поле данных кадра, синхронизация (выравнивание скоростей) 
кадров, мультиплексирование и коммутация. 


На рис. 8.4 показан типичный фрагмент первичной сети. Рассмотрим работу мультиплек- 
сора А. Он имеет два трибутарных порта и два агрегатных порта той же скорости. В его 
задачу входит передача пользовательских данных с трибутарного порта 1 на агрегатный 
порт 1, а данных с трибутарного порта 2 — на агрегатный порт 2. 


Рассмотрим, как он выполняет эту задачу для трибутарного порта 1. Мультиплексор А при- 
нимает последовательность байтов пользователя в трибутарный порт, образует из них 
кадры и в виде кадров передает на соответствующий агрегатный порт. 


Трибутарный порт 1 Агрегатный 
порт 1 


Агрегатный 


Трибутарный порт 2 порт 2 


Д 


Рис. 8.4. Фрагмент первичной сети 


Важно понимать, что понятие «кадр» в синхронной первичной сети не совпадает с по- 
нятиями «кадр» и «пакет» в сетях с коммутацией пакетов. Вспомним, что кадры /пакеты 
в пакетных сетях определяются как единицы данных, которые могут обрабатываться сетью 
независимо друг от друга, двигаясь при этом с разной скоростью и по разным маршрутам, 
буферизоваться, обгонять друг друга и т. д. Разделение данных на кадры в пакетных сетях 
преследует цель повышения эффективности передачи неравномерного трафика. 
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Совсем по-другому обстоят дела с кадрами, формируемыми в процессе синхронного раз- 
деления времени. Кадры синхронного ТОМ являются нарезкой непрерывного потока 
данных, передаваемого по составному каналу сети с коммутацией каналов. Они всегда 
имеют равную величину и следуют синхронно, без пауз друг за другом. В простейшем слу- 
чае кадры могут состоять только из поля данных без какого-либо заголовка. Однако в раз- 
витых технологиях, использующих разделение времени (РОН и ОН), кадры ТОМ тоже 
снабжаются заголовком, который содержит вспомогательную информацию, необходимую 
для локализации и исправления ошибок, реконфигурирования сети, мониторинга качества 
работы сети, а также синхробайты, необходимые для распознавания начала кадра и его 
синхронизации. Таким образом, основной целью деления потока на кадры в технологии 
ТОМ является эффективность управления сетью. 


Кадры первичных сетей имеют свои особенности не только по содержанию, но и по форме 
представления. Последовательность байтов кадра принято изображать в виде матрицы, 
так как заголовок кадра разбивается на порции, которые периодически вставляются между 
порциями данных, чтобы обеспечить более равномерное появление данных на выходе 
мультиплексора ЗОН, а не задерживать их в буфере на все то время, которое требуется 
для полного прохождения заголовка кадра. 


На рис. 8.5, а показана схема преобразования кадра традиционного формата, состоящего 
из поля заголовка и поля данных, в матрицу. Пусть кадр состоит из 20 байтов, четыре 
из которых отведены под заголовок: синхробайта С, поля ИД идентификатора мульти- 
плексора-отправителя пользовательских данных и двух байтов контрольной суммы КС. 
Байты заголовка при передаче кадра через равные интервалы «вклиниваются» в поле 
данных, образуя кадр с расщепленным заголовком. Эта линейная структура преобра- 
зуется в матрицу, в которой первый столбец содержит заголовок кадра. Заметим, что 
представление кадров с расщепленным заголовком в виде матрицы делается только для 
удобства понимания, в действительности же содержимое кадров выдается на линию связи 
в виде последовательности битов. 


Заголовок Данные Заголовок 
м Рр В Ё 

с | 1 И | 

Традиционный формат кадра ид! 2 1. | | 

С ИД КС КС кс | и 

ВЕТ ТТГ ТЕТЕ ТТ О сей НЕ 


Кадр с расщепленным заголовком 


а) Схема представления кадра в виде матрицы 


4 1 1 1 


Кадр _ а кадр | Кадр. 


Мультикадр 


6) Расширение поля заголовка в мультикадре 


Рис. 8.5. Особенности представления кадров первичных сетей 
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Важной особенностью кадров первичных сетей (см. рис. 8.5) является то, что значительная 
часть информации из заголовков характеризует не отдельный кадр, а поток кадров в целом, 
поля заголовка могут содержать значения, которые не относятся к пользовательским дан- 
ным, следующим непосредственно за заголовком. Это несколько странное обстоятельство 
связано с непрерывностью обработки потока байтов синхронным мультиплексором первич- 
ной сети без буферизации. Так, контрольная сумма пользовательских данных вычисляется 
последовательно, байт за байтом в темпе их поступления и становится известной только 
после приема всех байтов, образующих кадр, в нашем случае — после приема 20 очередных 
байтов. То есть к моменту вычисления контрольной суммы кадр уже закончился и должен 
начаться следующий. Поэтому мультиплексор помещает контрольную сумму данных кад- 
ра 1 в заголовок кадра 2, другого варианта у него нет. 


Другой особенностью кадров первичных сетей является организация мультикадров. 
Мультикадр состоит из нескольких последовательных кадров, в нашем примере — из 
трех. Мультикадр позволяет расширить некоторое поле заголовка кадра, добавив к нему 
такие же заголовки других кадров, а затем объявив их общими для всех кадров, входя- 
щих в мультикадр. Рассмотрим, например, поле ИД, в котором хранится идентификатор 
мультиплексора, который сгенерировал кадр. Предположим, что длина идентификатора 
3 байта. Однако вместо того, чтобы отводить под идентификатор 3 байта в каждом кадре, 
его сделали равным одному байту и распределили это поле по полям ИД трех кадров 
мультикадра — первый байт поля ИД поместили в первый кадр мультикадра, второй -- во 
второй, третий — в третий кадр. Информация, находящаяся в поле ИД, не меняется от 
мультикадра к мультикадру — она представляет собой часть конфигурации сети, которая, 
как замечено, меняется редко. Мультиплексоры сети, получающие кадры от мультиплек- 
сора А, периодически считывают байты поля ИД и составляют полный идентификатор из 
двух последовательных байтов этого поля, полученных от двух кадров, входящих в муль- 
тикадр. Если бы идентификатор состоял не их двух, а из 20 байтов, то мультикадр нужно 
было бы составлять из 20 последовательных кадров. 


В процессе формирования кадра одновременно с добавлением к байтам пользователя байтов 
заголовка кадра мультиплексор выполняет операцию выравнивания скорости пользователь- 
ских данных и скорости кадра, который передается на агрегатный порт мультиплексора. 
Несмотря на то что пользовательское оборудование первичной сети должно вырабатывать 
данные со строго определенной скоростью, всегда существует возможность незначительной 
рассинхронизации таймера пользовательского оборудования и таймера мультиплексора. 
Кроме того, необходимость в выравнивании скоростей возникает в том случае, если данные 
пользователя при поступлении на вход мультиплексора были перекодированы, что изменило 
их объем (а значит, и скорость). Для выравнивания скоростей применяются такие приемы, 
как вставка «пустых» байтов в поле кадра в том случае, когда пользовательский поток отстает 
от мультиплексора, или же помещение байта пользователя в специально зарезервированное 
поле заголовка кадра, когда пользовательский поток «спешит» и посылает байт слишком 
рано, когда время его отправки на агрегатный интерфейс еще не наступило. 


Мультиплексирование потоков нужно для того, чтобы вместо нескольких агрегатных кана- 
лов, как это имеет место в примере между мультиплексорами А и В, можно было применить 
только один агрегатный канал, но работающий на более высокой скорости. Это позволяет 
экономить физические каналы связи. На рис. 8.4 агрегатные каналы с мультиплексирова- 
нием используются между мультиплексорами В и С, Си В и др. Мультиплексирование 
выполняется в соответствии с техникой ТОМ-мульгиплексирования (см. главу 7). 
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Технологии первичных сетей 


Существует несколько поколений технологий первичных сетей: 
О плезиохронная цифровая иерархия (Р]ез1осЬгопоиз$ ГЮіріќа! Негагсву, РОН); 


О синхронная цифровая иерархия (ЗупсЬгопоц$ Юіріќа! Ніегагсһу, ЗОН) — этой техноло- 
гии в Америке соответствует стандарт ЗОМЕТ, 


_] уплотненное волновое мультиплексирование (Оепзе У/ауе Юіуіѕіоп Ми[ирех1пв, 
Б\ОМ); 


О оптические транспортные сети (Орќбіса! Тгапѕрогі Меѓмогк, ОТМ), позволяющие опре- 
делять способы передачи данных по волновым каналам ОУ\/ОМ. 


В технологиях РОН, ЗОН и ОТМ данные передаются в цифровой форме, а для разделе- 
ния высокоскоростного канала применяется временнде мультиплексирование (ТОМ, см. 
главу 7). Каждая из этих технологий поддерживает некоторую иерархию скоростей. Это 
свойство позволяет создавать структурированные сети с высокоскоростной магистралью 
и менее скоростными сетями доступа. Пользователь такой сети может выбрать подходя- 
щую ему скорость каналов доступа, к которым он будет подключать свое оборудование. 


В технологии О\УОМ мульгиплексирование выполняется на уровне световых волн, то есть 
в одном оптическом волокне проходит несколько десятков волновых каналов, каждый из 
которых может переносить информацию независимо от других. Это позволило существенно 
повысить пропускную способность современных телекоммуникационных сетей. Первые сети 
О\М/ОМ переносили сигналы ЗОН и работали со скоростями до 10 Гбит/с на каждой волне. 
Впоследствии для более эффективного использования волновых каналов ОМ/ОМ была 
разработана технология ОТМ, которая позволяет передавать по волновым каналам сигналы 
любых технологий, включая РОН, $ОН, Сіра Есћегпег, 10 С ЕФегпе и 100 С Ећегпеї. 


Сети ОУУОМ не являются собственно цифровыми сетями, поскольку лишь предоставляют 
своим пользователям выделенную световую волну для передачи информации, которую 
те могут применять по своему усмотрению и передавать по ней данные как в аналоговой, 
так и в дискретной (цифровой) форме. Скорость передачи ОҰУ ПОМ зависит от того, какой 
алгоритм дискретного кодирования применяет технология более высокого уровня на 
каждой волне, например, это может быть кодирование МК7. технологии ЗОН или ампли- 
тудно-фазовое кодирование технологии ОТМ. 


На рис. 8.6 представлена модель, в соответствии с которой для сетей с коммутацией 
пакетов, например сетей Есћегпеї, первичные сети представляют услуги нижележащего 
физического уровня. Между технологиями первичных сетей также существуют много- 
уровневые отношения. Так, сети РОН и $ОН могут предоставлять транспортный сервис 
непосредственно (не прибегая к услугам первичных сетей других технологий), при этом 
для уровня Еегпе это будут услуги РОН или $ОН. В то же время $ОН может переносить 
в своих кадрах кадры РОН, тогда для уровня ЕБегпе такая услуга будет выглядеть как 
услуга РОН, а для администратора первичной сети — как услуга РОН/ЗОН. Технологии 
ЗОН и ОТМ могут работать как цифровые оболочки О\/ОМ, кроме того, ОТМ может 
переносить кадры ЗОН. Из рисунка также видно, что технология ОТМ не может работать 
самостоятельно, без участия О\/ОМ, а РОН никогда прямо не обращается к О\УОМ. На 
рисунке в качестве примера показаны все варианты организации услуги $ОН: $ОН, $ОН/ 
О\УШМ и 5ОН/ОТМ/О\МОМ. Читателю предоставляется возможность самостоятельно 
найти другие допустимые комбинации взаимодействия технологий первичных сетей. 
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Рис. 8.6. Относительное положение технологий первичных сетей в семиуровневой модели О$1 


Технология РОН 


Система Т-каналов 


Сеть РОН обладает всеми свойствами, которые были приведены в предыдущем разделе 
при описании первичных сетей: это сети с коммутацией каналов, с простейшей топологией 
двухточечных линий связи, с мультиплексорами в качестве основного вида оборудования. 
Вместе с тем, сети РОН имеют свою специфику, на которой следует коротко остановиться. 


Технология плезиохронной цифровой иерархии (РОН) была разработана в конце 60-х 
годов компанией АТ&Т для решения проблемы связи крупных коммутаторов телефонных 
сетей между собой. Начало было положено разработкой мультиплексора Ті, который по- 
зволял в цифровом виде мультиплексировать, передавать и коммутировать (на постоянной 
основе) голосовой трафик 24 абонентов. Так как абоненты по-прежнему пользовались 
обычными телефонными аппаратами, то есть передача голоса шла в аналоговой форме, то 
мультиплексоры Т1 сами осуществляли оцифровывание голоса с частотой 8000 Гц и коди- 
ровали голос методом импульсно-кодовой модуляции. Для разделения канала использо- 
валось мультиплексирование с разделением времени (ТОМ). В кадре Т1 последовательно 
передается по одному байту каждого абонента, а после 24 байтов вставляется один бит 
синхронизации, итого 24 х 8 + 1 = 193 бита за 125 мкс. В результате каждый абонентский 
канал образовывал цифровой поток данных 64 Кбит/с (050), а мультиплексор Т1 обес- 
печивал его передачу на скорости 1,544 Мбит/с. 
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В качестве средств мультиплексирования при соединении крупных телефонных станций 
каналы Т1 имели недостаточную пропускную способность, поэтому была реализована 
идея образования каналов с иерархией скоростей. Четыре канала типа Т1 объединили пу- 
тем побайтного временного мультиплексирования в канал следующего уровня цифровой 
иерархии — Т2, передающий данные со скоростью 6,312 Мбит/с. Канал ТЗ, образованный 
путем объединения семи каналов Т2, имеет скорость 44,736 Мбит/с. Канал Т4 объединяет 
шесть каналов ТЗ, в результате его скорость равна 274 Мбит/с. Описанная технология 
получила название системы Т-каналов (рис. 8.7). 


Технология систем Т-каналов была стандартизована Американским национальным инсти- 
тутом стандартов (АМЗГ), а позже — международной организацией ГТО-Т. В результате 
внесенных ІТО-Т изменений возникла несовместимость американской и международной 
версий стандарта РОН. Аналогом систем Т-каналов в международном стандарте явля- 
ются каналы типа Е, Е2, ЕЗ и Е4 с отличающимися скоростями — 2,048, 8,488, 34,368 
и 139,264 Мбит/с соответственно. Канал Е1 оперирует кадрами длиной в 32 байта, из 
которых 30 представляют байты 30 пользовательских потоков 64 Кбит/с, а два байта со- 
ставляют заголовок кадра, в котором и переносится служебная информация. 
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При мультиплексировании нескольких пользовательских потоков в мультиплексорах 
РОН применяется техника, известная как битстафинг. К этой технике прибегают, ког- 
да скорость пользовательского потока оказывается несколько меньше, чем скорость 
объединенного потока, -- подобные проблемы могут возникать в сети, состоящей из 
большого количества мультиплексоров, несмотря на все усилия по централизованной 
синхронизации узлов сети. В результате мультиплексор РОН периодически сталкивается 
с ситуацией, когда какой-либо из объединяемых потоков «опаздывает» и мульгиплексору 
«не хватает» бита для представления этого потока в объединенном кадре. В этом случае 


Рис. 8.7. Система Т-каналов 
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мультиплексор просто вставляет в объединенный поток бит-вставку и отмечает этот факт 
в служебных битах объединенного кадра. При демультиплексировании объединенного 
потока бит-вставка удаляется из пользовательского потока, который возвращается в ис- 
ходное состояние. 


Отсутствие полной синхронности потоков данных при объединении низкоскоростных 
каналов в высокоскоростные и дало название технологии РОН: «плезиохронный» означает 
«почти синхронный». 


Способ выравнивания скоростей потоков при их мультиплексировании с помощью битста- 
финга прост, но он приводит к сложностям при демультиплексировании, так как заранее 
не известно, на каком уровне (или уровнях) был добавлен бит. Например, чтобы получить 
данные абонентского канала 64 Кбит/с из кадров ТЗ, нужно провести демультиплексирова- 
ние этих кадров до уровня кадров Т2, затем демультиплексировать кадры Т2 до кадров Т1, 
а уже затем выделить из них пользовательские потоки 64 Кбит/с. 


Таким образом, в технологии РОН не могут быть использованы мультиплексоры ввода- 
вывода и кросс-коннекторы, так как эти устройства построены на возможности вывода 
отдельного подканала из магистрального канала без полного демультиплексирования 
последнего. Это сильно ограничивает возможности подключения новых пользователей 
к промежуточным устройствам. 


Недостатком РОН являются также слишком низкие по современным понятиям скорости 
передачи данных — ее иерархия скоростей заканчивается уровнем 139 Мбит/с, то есть 
РОН не способна передавать данные стандартного на сегодня интерфейса персональных 
компьютеров со скоростью 1 Гбит/с. 


Синхронизация в сетях РОН 


Механизмы мультиплексирования/демультиплексирования технологий РОН требуют 
синхронной работы всех мультиплексоров сети. В случае небольшой сети РОН, напри- 
мер сети города, синхронизация всех устройств сети из одной точки представляется до- 
статочно простым делом и может быть осуществлена от одних точных часов, соединенных 
проводными линиями связи с синхровходами каждого мультиплексора. Однако для более 
крупных сетей, например, сетей масштаба страны, состоящих из некоторого количества 
региональных сетей, централизованная синхронизация всех устройств сети посредством 
одного источника сигналов точного времени представляет собой проблему. 


Общий подход к решению этой проблемы описан в стандарте ГТО-Т С.810. Он заключается 
в организации в сети иерархии эталонных источников синхросигналов, а также системы 
распределения синхросигналов по всем синхронизируемым элементам (СЭ) сети (рис. 8.8). 
Такая система образует отдельную сеть синхросигналов, в мультиплексорах она образуется 
за счет использования синхробайтов в заголовке кадра ЗТМ-1. 


Каждая крупная сеть должна иметь, по крайней мере, один очень точный источник син- 
хросигналов — первичный эталонный генератор (ПЭГ) синхросигналов. В соответствии 
с требованиями стандартов он должен быть способен вырабатывать синхросигналы с от- 
носительной точностью частоты не хуже 10-!1. На практике в качестве ПЭГ используют 
либо автономные атомные (водородные или цезиевые) часы, либо часы, синхронизирую- 
щиеся от спутниковых систем точного мирового времени (СРЅ или ГЛОНАСС). Обычно 
точность ПЭГ достигает 10-13, | 
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„. Синхросигналы — / 


Рис. 8.8. Организация распределения синхросигналов по узлам сети 


Стандартным синхросигналом является сигнал тактовой частоты уровня Е1/Т1, то есть 
частоты 2048 кГц для международного варианта стандартов РОН и ЗОН, и 1,544 кГц для 
варианта этих стандартов, применяемых США. Синхросигналы от ПЭГ непосредственно 
поступают на специально отведенные для этой цели синхровходы магистральных синхро- 
низируемых устройств сети РОН — синхровходы магистральных мультиплексоров. Если 
это составная сеть, то каждая крупная сеть, входящая в состав составной сети (например, 
региональная сеть, входящая в состав национальной сети), имеет свой ПЭГ. 


Для синхронизации немагистральных узлов используется вторичный задающий генератор 
(ВЗГ) синхросигналов. ВЗГ работает в режиме принудительной синхронизации, являясь 
ведомым таймером в паре ПЭГ — ВЗГ. Обычно ВЗГ получает синхросигналы от некоторого 
ПЗГ через промежуточные магистральные узлы сети, при этом для передачи синхросиг- 
налов используются биты служебных байтов кадра. Точность ВЗГ вторичного генератора 
меньше, чем точность ПЭГ: в стандарте ГТО-Т она определяется как «не хуже 10-3. 


Иерархия эталонных генераторов может быть продолжена, если это необходимо, при этом 
требование к точности генератора каждого более низкого уровня естественно понижается. 
Генераторы нижних уровней могут использовать для выработки своих синхросигналов 
несколько эталонных генераторов более высокого уровня, но при этом в каждый момент 
времени один из них должен быть основным, а остальные — резервными; такое построение 
системы синхронизации обеспечивает ее отказоустойчивость. Кроме того, при построении 
системы синхронизации требуется гарантировать отсутствие петель синхронизации. 


Методы синхронизации цифровых сетей, кратко описанные выше, применимы не 
только к сетям РОН, но и к другим сетям, работающим на основе синхронного ТОМ- 
мультиплексирования, например, к сетям ЗОН, к рассмотрению которых мы и переходим. 


Технология ЗОН 


Недостатки и ограничения технологии РОН были учтены и преодолены разработчиками 
технологии синхронной цифровой иерархии ЗОН. Эта технология направлена на создание 
высокоскоростных магистральных каналов, способных соединять сети РОН как американ- 
ского, так и международного вариантов. 
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В качестве среды передачи данных оборудование ЗОН использует одномодовый волоконно- 


оптический кабель, передавая по нему модулированные световые сигналы с длиной волны 
1310 нм или 1550 нм. 


Мультиплексоры ЗОН выполняют операции мультиплексирования и коммутации над электриче- 
скими сигналами — для этого они преобразуют оптические сигналы, пришедшие от оптических 
портов, в электрические, а после выполнения необходимых операций выполняют обратное пре- 
образование сигналов. Такой тип работы называется работой по схеме О-Е-О, от английского 
термина Орїіса!-Еесїгісаі-Орісаі. 


Функциональные уровни ЗОН 


Функции оборудования ЗОН могут быть разделены на четыре уровня (рис. 8.9, а). Под- 
черкнем, эти уровни никак не соотносятся с уровнями модели ОЗ, для которой вся сеть 
ЗОН представляется как оборудование физического уровня. Перечислим их: 


О Уровень тракта является самым высоким уровнем — он отвечает за доставку данных 
между двумя конечными пользователями сети. Тракт (Ра) — это составное виртуаль- 
ное соединение между пользователями. На этом уровне выполняется прием данных, 
поступающих в пользовательском формате, например формате Е1, и отображение их 
в блоки данных ЗОН, соответствующие данному уровню. В результате этих действий 
к данным пользователя добавляется заголовок тракта (РОН), который несет инфор- 
мацию о типе и структуре полученного блока данных ЗОН, а также информацию, пред- 
назначенную для механизма контроля по четности. 


О Уровень линии отвечает за передачу данных по линии между двумя мультиплексора- 
ми сети, поэтому линию также часто называют мультиплексной секцией. В функции 
этого уровня входит выполнение мультиплексирования и демультиплексирования, 
ввода-вывода пользовательских данных, а также реконфигурирование в случае отказа 
какого-либо элемента мультиплексной секции — оптического волокна, порта или со- 
седнего мультиплексора. 


Ц Уровень секции поддерживает физическую целостность сети. Регенераторной секцией 
в технологии 5ОН называется каждый непрерывный отрезок волоконно-оптического 
кабеля, который соединяет между собой такие, например, пары устройств ЗОН, как 
мультиплексор и регенератор, регенератор и регенератор, но не два мультиплексора. 
На этом уровне компоненты регенераторной секции выполняют тестирование и адми- 
нистрирование секции, контролируют ошибки. 


О Фотонный уровень $ОН представляет собой модулированный световой сигнал од- 
ной волны из диапазона 1310 нм или 1550 нм. В сетях ЗОН для передачи данных на 
скоростях до 10 Гбит/с включительно используется модуляция с двумя состояниями 
света — «свет включен/свет выключен» (Оп-ОЁ Кеушд, ООК). При этом используется 
метод кодирования МК7 «без возращения к нулю», когда последовательность единиц 
передается непрерывным световым лучом. Для обеспечения самосинхронизации при- 
емника исходный код скремблируется, так что длинные последовательности единиц 
в нем не встречаются. На скорости 40 Гбит/с код ООК приводит к слишком широкому 
спектру сигнала, поэтому применяются более сложные коды, использующие амплитуд- 
ную и фазовую модуляцию световой волны. 
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На рис. 8.9, 6 показано распределение функций ОН по типам оборудования ЗОН: реге- 
нераторы поддерживают только два нижних уровня, мультиплексоры ввода-вывода — три, 
а терминальные мультиплексоры ответственны за решение всего комплекса задач по до- 
ставке данных между двумя конечными пользователями. 


а Данные Данные 


Данные 


6 Мультиплексная 
секция 


Регенераторная 
секция 


Регенератор Регенератор 


Терминальный Терминальный 
мультиплексор Мультиплексор мультиплексор 
ввода-вывода 


Рис. 8.9. Функциональные уровни технологии 


Топологии сетей ЗОН 


В сетях ЮН наиболее часто используются кольца и линейные цепи мультиплексоров, 
но все большее применение также находит ячеистая топология, близкая к полносвязной. 


Кольцо ОН строится из мультиплексоров ввода-вывода, имеющих, по крайней мере, по 
два агрегатных порта (рис. 8. 10, а). Пользовательские потоки вводятся в кольцо и выво- 
дятся из кольца через трибутарные порты, образуя двухточечные соединения (на рисунке 
показаны в качестве примера два таких соединения). Кольцо является классической 
регулярной топологией, обладающей потенциальной отказоустойчивостью — при одно- 
кратном обрыве кабеля или выходе из строя мультиплексора соединение сохранится, 
если его направить по кольцу в противоположном направлении. Кольцо обычно строится 
на основе кабеля с двумя оптическими волокнами, но иногда для повышения надежности 
и пропускной способности применяют четыре волокна. 


Линейная цепь (рис. 8.10, 6) — это последовательность мультиплексоров ввода-вывода 
с двумя терминальными мультиплексорами на окончаниях линии. Обычно сеть с тополо- 
гией цепи применяется в тех случаях, когда узлы имеют соответствующее географическое 
расположение, например, вдоль магистрали железной дороги или трубопровода. Правда, 
в таких случаях может применяться и плоское кольцо (рис. 8.10, в), обеспечивающее 
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Соединения 


Рис. 8.10. Типовые топологии ЗОН 


более высокий уровень отказоустойчивости за счет двух дополнительных волокон в ма- 
гистральном кабеле и по одному дополнительному агрегатному порту у терминальных 
мультиплексоров. 

Наиболее общим случаем является ячеистая топология (рис. 8.10, г), при которой муль- 
типлексоры соединяются друг с другом большим количеством агрегатных связей, за счет 
чего сеть может достичь очень высокой степени производительности и надежности. 


Соединение 1 
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тельские м А тельские 
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ПОТОКИ ПОТОКИ 
Точка А Точка С Точка О 


Рис. 8.11. Линейная цепь ОН 
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В примере на рис. 8.11 линейная цепь образована четырьмя мультиплексорами МОХ! — 
МОХА, расположенными в географически разнесенных точках А, В, Си Р”. В линейной 
топологии схема мультиплексирования ЗОН позволяет устанавливать любые соединения 
между пользовательскими потоками. На рисунке показаны три таких соединения: соедине- 
ние 1 между пользователями в терминальных точках А и О, соединение 2 между пользова- 
телями промежуточных точек В и С, соединение 3 между пользователем промежуточной 
точки С и терминальной точки О. 


Иерархия скоростей 


Так как сети $ОН строились как магистральные сети для объединения сетей РОН, то ие- 
рархия скоростей РНР” и стала иерархией скоростей, которую 5ОН поддерживает для со- 
единений со своими клиентами, а именно: Е1 (2,048), Е2 (8,488), ЕЗ (34,368) и ЕА (139,264) 
Мбит/с. Поэтому для таких клиентов, например, коммутаторов телефонных сетей, для 
которых интерфейсы Е1-Е4 являются «родными», сеть ЗОН является эффективным 
средством передачи данных. Клиенты же других типов, например, маршрутизаторы ком- 
пьютерных сетей, должны подстраиваться и либо обзаводиться подобными интерфейсами 
или же использовать специальные адаптеры, которые преобразуют один или несколько 
интерфейсов Ефегпе в интерфейсы РОН. 


Иерархия скоростей магистральных соединений ЗОН (или собственно иерархия скоростей 
ЗОН) начинается там, где заканчивается иерархия скоростей ее клиента. То есть начальная 
скорость технологии 5ОН была выбрана так, чтобы она могла передавать один поток наи- 
высшей скорости РОН Е4 (139,264 Мбит/с). Эта начальная скорость и соответствующий ей 
кадр ЗОН получили название $ТМ-1 (ЗупсЬгопоц$ Тгапѕрогі Моше ]еуе] 1) — синхронный 
транспортный модуль уровня 1. Этот модуль является основой системы $ОН. 


Однако некоторые клиенты могут иметь оборудование с менее скоростными интерфейсами, 
такими как Е1, Е2 или ЕЗ. Поэтому было решено сделать кадр ЗТМ-1 способным передавать 
данные не только потока Е4, но и всех остальных менее скоростных потоков РОН, то есть Е1, 
Е2 и ЕЗ. Стремление как можно эффективнее передавать потоки РОН и в разнообразных их 
комбинациях (то есть по несколько потоков каждого типа) привело к достаточно сложной 
структуре кадра 5ТМ-1. Сложные методы интегрирования пользовательских потоков в ка- 
дре ЗТМ-1 потребовали включения в кадр большего количества дополнительной служебной 
информации, необходимой для понимания его структуры при демультиплексировании. 


Организация всех уровней иерархии скоростей выше первого, носящих общее название $ТМ-М, 
значительно проще, чем ЗТМ-1, так как каждый последующий уровень допускает только один 
вариант мультиплексирования: мультиплексирование четырех кадров предыдущего уровня в один 
кадр, и никаких других комбинаций потоков, как в случае уровня ЭТМ-1, у него нет. 


Всего было стандартизовано пять уровней скоростей ЗОН (табл. 8.1). 


Таблица 8.1. Стандартизация уровней скоростей ЗОН 


Обозначение $ТМ-1 | $ТМ-4 ЅТМ-16 ЅТМ-64 ЅТМ-256 
(Ѕ$ТМ-1 х4) а= 16) | ($ТМ-1х64) | ($ТМ-1 х 256) 


Скорость | Скорость (Мб/с) — | 155,520 | 920 622,080 02488 9953 39 810 


Глава 8. Технологии первичных сетей РОН и $ОН 257 


Заметим, что скорость передачи данных в канале 5ТМ-1 (155,520 Мбит/с) выше, чем 
скорость Е4 (139,264), это объясняется тем, что при неизменной величине цикла объем 
данных в кадре увеличился из-за включения в него дополнительной служебной инфор- 
мации (заголовков). Уровень ЭТМ-256 (около 40 Гбит/с) является наивысшим уровнем 
стандарта $5ОН. Дальнейшее повышение скорости первичных сетей стало происходить 
в рамках технологии ОТМ. 


Трафик компьютерных сетей не считался в 80-е годы чем-то приоритетным, поэтому 
иерархия скоростей ЅЮН никак не соотносится с иерархией скоростей Ећегпеї, а это 
означает, что пропускная способность сетей ЗОН используется неэффективно при пере- 
даче компьютерного трафика. Например, в кадр 5ТМ-1 можно поместить только один 
поток Еќћегпеѓ 100 Мбит/с, это означает, что пропускная способность канала связи ЗОН 
используется компьютерными данными только на 65%. Аналогичная ситуация возникает 
и при передаче компьютерных потоков 1 Гбит/с по каналу ЗТМ-16, когда из 2,5 Гбит/с 
используются только 2 Гбит/с. 


Формат кадра ЗОН 


Технология ЮН выполняет мультиплексирование своих кадров на основе техники 
ТОМ - разделения магистрального канала по времени. Каждый кадр вышележащего 
уровня получается путем побайтного мультиплексирования кадров нижележащего уров- 
ня. Например, если на каждый вход мультиплексора приходят кадры 5ТМ-1, которые 
мультиплексируются в один кадр следующего уровня скорости (ЅТМ-4) побайтно, то 
в кадре 5ТМ-4 последовательно чередуются байты из первого, второго, третьего и четвер- 
того кадров $ТМ-1. Учитывая циклический характер кадра, в ЗОН принято изображать 
кадр в виде матрицы. 


РОН - заголовок тракта 
9 байт 1 е 260 байт 


Заголовок 
кадра Данные 
9 строк ЅТМ-1 кадра 


Рис. 8.12. Формат кадра 5ТМ-1 


Для кадра 5ТМ-1 (рис. 8.12) такая матрица состоит из 9 строк, каждая из которых со- 
стоит из 270 байт. Строка включает 9 байт заголовка, 260 байт пользовательских данных 
и один служебный байт, принадлежащий заголовку тракта РОН, о котором речь ниже. 
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Мультиплексирование в $ТМ-М 


Как мы знаем, мультиплексирование модулей уровней выше первого выполняется в соот- 
ветствии с простым правилом: каждый последующий уровень 5ТМ-М получается миль- 
типлексированием четырех блоков предыдущего уровня 5ТМ-(М - 1). 


Рассмотрим, например, как блок 5ТМ-4 получается в результате мультиплексирования че- 
тырех кадров 5ТМ-1 (рис. 8.13). Для упрощения рисунка на нем не показан заголовок кадра 
РОН. Мультиплексор принимает первый байт первого кадра ЗТМ-1 и копирует его значение 
в первый байт кадра ЗТМ-4. Затем он копирует значение первого байта второго кадра ЗТМ-1 
во второй байт кадра 5ТМ-4, значение первого байта третьего кадра ЗТМ-1 — в третий байт 
кадра ЗТМ-4, а значение первого байта четвертого кадра ЗТМ-1 — в четвертый байт кадра 
ЗТМ-4. Далее этот цикл повторяется уже со вторыми байтами кадров ЗТМ-1. 


В результате содержимое кадра ЗТМ-4 представляет собой чередующиеся байты кадров 
ЅТМ-1, причем позиция байтов каждого из кадров $ТМ-1 известна и фиксирована, как это 
и должно быть при ТОМ-мультиплексировании. Демультиплексирование может быть вы- 
полнено «на лету», например, для вывода из кадра 5ТМ-4 третьего кадра 5ТМ-1 достаточно 
копировать в выходной порт получателя байты, находящиеся в позициях (тайм-слотах), 
кратных трем. 


А Заголовок Поле данных 
9 байт 260 байт 


шм в Ең: 2-й кадр $ТМ-1 
55 ҳе. 9% 


В 45 4 


чучу 4-й кадр $ТМ-1 
а 
мчч 


Е 


1-й кадр ЅТМ-1 Мультиплексируемые кадры $ТМ-1 


9 строк 


ў 


-144-4--- 


Заголовок 4 х 9 = 36 байт Данные 4 х 261 = 1044 байт 
Результирующий кадр ЗТМ-4 


Рис. 8.13. Мультиплексирование четырех кадров ЭТМ-1 в кадр 5ТМ-4 


Синхронность работы мультиплексоров ЗОН проявляется в том, что за каждый такт его 
работы на каждом его входе принимается один бит, а на выходе — передается один бит. Так 
как здесь байты являются неделимой единицей информации, то очередной пришедший 
байт может быть вынужден ожидать своего тайм-слота для передачи на выходной порт 
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мультиплексора. Но эта задержка очень мала, например, для выходного кадра 5ТМ-4 вре- 
мя передачи одного байта составляет 1,6 нс. Максимальное время ожидания тайм-слота 
равно времени передачи трех байтов, то есть 4,8 нс, что пренебрежимо мало по сравнению 
с временем цикла генерации оцифрованных замеров голоса 125 мкс. 


Кадры старших уровней 5ТМ-16, 5ТМ-64 и $ТМ-256 формируются аналогично, так что 
размер поля заголовка кадра в строке кадра ЗТМ-М равен 9 х М байт, а размер поля дан- 
ных — 260 х М байт. Количество строк кадров любого уровня всегда равно 9. 


Время цикла, или, что одно и то же, время приема данных от всех мультиплексируемых 
потоков и формирования из них кадра, — всегда равно 725 мкс!, независимо от уровня ско- 
рости 5ТМ-М№ магистрального канала. Следовательно, размер кадра (включая заголовок) 
связан со скоростью следующим соотношением: (ЗТМ-М№) х 125/8 байт (табл. 8.2). 


Таблица 8.2. Соотношения размера кадра и скорости 


ЅТМ-1 ЅТМ-4 ЅТМ-16 ЅТМ-64 ЅТМ-256 
Скорость (Мб/с) 155,520 622,080 2488 9953 39 810 
Размер кадра (байт) 2430 9720 38 880 155 520 622 080 


Мультиплексирование в $ТМ- 1 


Мультиплексирование в 5ТМ-1 занимает особое место. Кадр ЗТМ-1 по сравнению с дру- 
гими типами кадров ЭТМ-М имеет более сложную структуру, позволяющую агрегировать 
в общий магистральный поток потоки РОН различных скоростей. $ТМ-1 является началь- 
ной, самой низкой скоростью, которая, тем не менее, соответствует наивысшей скорости 
РОН ЕА. Задача разработчиков технологии ЗОН состояла в том, чтобы сделать возможной 
передачу в кадре $ТМ-1 данные потоков с более низкими скоростями, например, несколько 
потоков Е1, несколько потоков Е2 и несколько потоков ЕЗ. В результате была создана схема 
(рис. 8.14), позволяющая гибко компоновать кадр ЗТМ-1. 


Е4 140 Мбит/с 


С-3 | ТЗ/ЕЗ 45/34 Мбит/с 


х1 
—————— Отображение тиб-2 | МС-2 С-2 | Т2 бМбит/с 


Ф --------- Выравнивание Е 


4——————— Мультиплексирование Т0-12, \С-12 С-12| Е1 2 Мбит/с 


х4 


Е: Операции с указателем ТУ-11&--1\С-11 С-11| Т1 15 Мбит/с 


Рис. 8.14. Схема компоновки кадра 5ТМ-1 из потоков РОН разной скорости 


1 Выбор времени цикла равным интервалу между замерами оцифрованного с частотой 8 кГц голоса по- 
казывает ориентацию технологии ЗОН прежде всего на качественную передачу телефонного трафика. 
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В схеме представлен каждый из потоков-клиентов РОН, включая как международную (ЕЇ, 
ЕЗ, Е4), так и американскую (Т1, Т2, ТЗ) версии. Чтобы попасть в кадр ЭТМ-1, данные из 
потока клиента должны прежде всего быть представлены в виде пользовательского кон- 
тейнера. Контейнер пользовательских данных (Сопќаіпег, С) — это набор байтов пользо- 
вателя, которые поступают в мультиплексор за время одного цикла 125 мкс и которыми 
мультиплексор оперирует как единым целым. 


Схема показывает, что существуют различные пути попадания данных пользовательского контей- 
нера каждого типа в кадр 5ТМ-1 и что на этом пути данные контейнера претерпевают определен- 
ные преобразования в результате выполнения над ними операций отображения, выравнивания 
и мультиплексирования, получая при этом последовательно различные названия, такие как УС 
(виртуальный контейнер), ТО, ТОС, АО и АОС. 


Первой операцией на пути данных пользователя в кадр 5ТМ-1 является отображение 
пользовательских данных из контейнера пользователя в виртуальный контейнер. 


Виртуальный контейнер (Уігїиа! Сопїаіпег, МС) является единицей коммутации сети 5ОН, он 
передается между конечными точками соединения пользователей без изменения вместе со 
своим заголовком. 


Как видно из схемы на рис. 8.14, одни виртуальные контейнеры, а именно УС-3 и УС-4, 
являются структурированными, то есть могут включать несколько мультиплексированных 
виртуальных контейнеров УС-11, УС-12 или УС-2, а другие — УС-11, УС-12 и УС-2 — 
всегда содержат только один пользовательский контейнер. Структура контейнеров УС-4 
и УС-3 описывается в их заголовках, и мультиплексор использует эти данные при их де- 
мультиплексировании. Виртуальный контейнер вместе с полем указателя образует блок 
данных другого типа, называемый трибутарным или трибным блоком ТИ для контейнеров 
УС-11, УС-12 и УС-2 и административным блоком АИ для контейнеров УС-3 и УС-4. При 
побайтном мультиплексировании нескольких блоков ТО образуется группа блоков ТОС, 
а при мультиплексировании блоков АП — группа административных блоков АОС (блоки 
ТО, ТОС, АЦ и АОС имеют обозначения, соответствующие уровню виртуальных контей- 
неров, которые в них входят, например, блок ТО-12 или блок ТОС-3, блок АОС индекса 
не имеет, так как он может быть только одного уровня — верхнего). Блоки ТОС и АОС 
своих заголовков не имеют. 


В результате отображения пользовательских данных в данные виртуального контейнера 
к ним добавляется служебная информация в виде заголовка тракта (Раїћ Оуефеаа, РОН), 
называемого также маршрутным заголовком, и байтов грубого выравнивания скоростей 
пользовательских данных и виртуального контейнера. Заголовок РОН включает инфор- 
мацию, позволяющую выполнять различные полезные функции, такие как контроль по 
четности данных виртуального контейнера, индикацию в направлении передатчика об 
обнаружении ошибки по четности, а также информацию о типе и структуре виртуального 
контейнера. Заголовок РОН располагается в первых байтах каждой строки виртуального 
контейнера. На рис. 8.15, а показана структура виртуального контейнера УС-4. 


Мультиплексирование в 5ТМ-1, так же как и мультиплексирование кадров в 5ТМ-М№, 
выполняется побайтно. Коэффициент мультиплексирования (х1, хЗ и др.) на схеме пока- 
зывает, сколько блоков определенного типа мультиплексируется в блок следующего типа. 
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9 строк 


Рис. 8.15. Виртуальный контейнер МС-4 (а) и его блок АП-4 (6) 


В любой блок, допускающий мультиплексирование, могут быть помещены блоки либо 
одного, либо другого типа, но смешение типов не допускается. Например, в блок ТОС-2 
может быть мультиплексировано или 4 блока ТО-11, или З блока ТО-12, или 1 блок ТО-2. 
При этом два блока ТОС-2, один из которых построен из блоков ТО-11, а другой из блоков 
ТО-12, по-прежнему считаются блоками одного типа. 


Несмотря на это ограничение, предложенная схема мультиплексирования дает возмож- 
ность переносить в кадре различные сочетания пользовательской нагрузки. Так, если нам 
необходимо передавать по несколько потоков ЕЇ и Т2, то для потоков Е1 можно выбрать 
один или несколько из семи имеющихся блоков ТОС-2, помещая в них по 4 контейнера 
С11, содержащих потоки Е1, а для потоков Т2 выбрать оставшиеся блоки ТОС-2. Для 
кадра 5ТМ-1, например, могут быть предложены следующие варианты: (а) 1 поток Е4; (6) 
63 потока Е1; (в) 1 поток ЕЗ и 42 потока Е1 (возможны и другие варианты). 


Нужно подчеркнуть, что все мультиплексоры сети 5ОН после их конфигурирования ад- 
министратором настроены на какой-то один определенный вариант мультиплексирования, 
который может быть получен из данной схемы. 


Выравнивание 


Выравнивание скоростей выполняется во время генерации каждого кадра 5ТМ-1 и во 
время мультиплексирования. Существует грубое и тонкое выравнивание. В первом слу- 
чае согласуют номинальную скорость пользовательских данных и номинальную скорость 
виртуального контейнера, которая всегда выше по двум причинам: во-первых, из-за необхо- 
димости переносить дополнительные байты заголовка тракта РОН, во-вторых, она должна 
быть такой, чтобы при мультиплексировании в блоки более высокого уровня помещалось 
целое число виртуальных контейнеров данного типа. Для этого случая используются бай- 
ты грубого выравнивания из заголовка РОН. 


Тонкое выравнивание скоростей устраняет рассогласование скорости пользовательских 
данных (кадров РОН) и скорости передачи кадров ЭТМ-1, которое является следствием 
несинхронности пользовательского оборудования РОН и оборудования $ОН. Для тонкого 
выравнивания скоростей применяются указатели. 


Концепция указателей — ключевая в технологии ЮН, она заменяет принятое в РОН 
выравнивание скоростей асинхронных источников посредством битстафинга. Указатель 
определяет текущее положение виртуального контейнера в кадре. С помощью указателя 


262 Часть |. Технологии физического уровня 


виртуальный контейнер может «смещаться» в определенных пределах внутри кадра, если 
скорость пользовательского потока несколько отличается от скорости кадра 5ОН, в кото- 
рый этот поток мультиплексируется. 


Именно благодаря системе указателей мультиплексор находит положение пользовательских 
данных в синхронном потоке байтов кадров ЭТМ-М и «на лету» извлекает их оттуда, чего механизм 
мультиплексирования, применяемый в РОН, делать не позволяет. 


Поле указателя состоит из нескольких байтов (их количество зависит от уровня виртуаль- 
ного контейнера, на который он указывает). Значение указателя должно быть достаточно 
большим, чтобы указать смещение начала виртуального контейнера в кадре, в то же время 
в силу циклического характера передачи виртуальных контейнеров значение указателя не 
превышает размера виртуального контейнера. 


Рассмотрим приниип работы указателя на примере выравнивая скорости виртуального 
контейнера У\С-4, который «плавает» относительно указателя блока А-4. На рис. 8.15, 6) 
показан блок АП-4, его заголовок состоит из 9 байт, которые делятся на три подполя, Н1, 
Н2 и НЗ, каждое по три байта, при этом они всегда предшествуют первому байту четвертой 
строки матрицы УС-4. Структура блока А7-4 выглядит несколько странно, с четвертой 
строкой, имеющей больший размер, чем остальные, но эта странность объясняется тем, 


что «лишние» байты четвертой строки в действительности размещаются в поле заголовка 
кадра 5ТМ-1 (рис. 8.16). 


261 байт 
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ЗОН, Указатель МС-4 
З строки _. 120х3 = 360 
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5 строк Виртуальный контейнер 
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9 Б ЗА С ООО 
та” аа ини 


Виртуальный контейнер 


Рис. 8.16. Компенсация несинхронности пользовательского потока с помощью указателя 
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Кадр 5ТМ-1 состоит из поля данных и заголовка. В поле данных помещается виртуаль- 
ный контеинер УС-4 (формально, в соответствии со схемой мультиплексирования, поле 
данных кадра ЭТМ-1 занимает блок АОС, но в случае размещения в нем блока АП-4 блок 
АОС совпадает с блоком АП-4, так как этот блок представлен в единственном экземпляре 
и мультиплексировать блоку АОС нечего). 


Заголовок кадра ЭТМ-1, называемый транспортным заголовком, или заголовком секции 
(Зесиоп Оуегћеаӣ, 5ОН), занимает 9 начальных байтов каждой из 9 строк кадра, кроме 
строки 4, которую он уступает полю указателя блока АП-4. Заголовок содержит данные, 
необходимые для демультиплексирования содержащихся в кадре блоков данных пользова- 
телей, обнаружения ошибок и уведомления передатчика о них, мониторинга качества работы 
сети, а также синхробайты, необходимые для распознавания начала кадра и его синхрониза- 
ции. С помощью байтов синхронизации мультиплексоры распространяют по сети сигналы 
от точных источников синхронизации, то есть участвуют в создании сети синхронизации. 


Заголовки кадров ЗТМ-М более высокого уровня представляют собой побайтно мультиплек- 
сированный набор заголовков входящих в них кадров более низкого уровня, и в конечном 
счете заголовков кадров ЗТМ-1. Собственных полей кадры уровня выше 1-го не имеют. 


Под значение указателя отведены 10 бит полей Ні и Н2, значение этих 10 бит рассма- 
тривается как целое положительное число. Значение указателя, умноженное на 3, дает 
смещение в байтах начала виртуального контейнера, отсчитываемое от поля НЗ. То есть 
когда указатель равен 0, виртуальный контейнер УС-4 начинается сразу же за полем НЗ. 
На рисунке показан другой случай, когда значение указателя равно 120 и виртуальный 
контейнер начинается с 360-го байта после поля НЗ. 


Коэффициент 3 при вычислении смещения нужен для того, чтобы смещение могло покрыть 
любые значения в пределах длины контейнера в 2340 байт, а десятиразрядное двоичное 
число для этого имеет недостаточную длину — его максимальное значение равно 1023. Ум- 
ножение на 3 дает нам 3069, что избыточно, поэтому разрешенными значениями указателя 
являются числа от 0 до 782. Заметим, что отсчет начала виртуального контейнера от поля 
НЗ приводит к тому, что виртуальный контейнер УС-4 всегда сдвинут относительно начала 
кадра 5ТМ-1 на четыре строки, то есть располагается в двух последовательных кадрах. 


Теперь посмотрим, как указатель работает в случае рассогласования скорости пользова- 
тельских данных и мультиплексора. Предположим, что скорость пользовательских данных 
ниже, чем скорость мультиплексора. Это неизбежно приведет к ситуации, что в какой-то 
момент времени приема данных у мультиплексора просто не будет хватать их очередной 
порции для заполнения байтов виртуального контейнера. В таком случае мультиплексор 
вставляет три «холостых» (незначащих) байта в данные виртуального контейнера, после 
чего продолжает заполнение УС-4 «подоспевшими» за время паузы пользовательскими 
данными. Указатель наращивается на единицу, что отражает запаздывание начала оче- 
редного контейнера УС-4 на три байта, а факт вставки холостых трех байтов отмечается 
в поле Н1. Эта операция над указателем называется положительным выравниванием. В ито- 
ге средняя скорость отправляемых пользовательских данных становится равной скорости 
их поступления, причем без вставки дополнительных битов (битстафинга) в стиле РОН. 
В нашем примере значение указателя стало равным 121, что соответствует смещению на- 
чала виртуального контейнера на 363 байта. 


Если же скорость поступления данных контейнера УС-4 выше, чем скорость отправки 
кадра 5ТМ-1, то у мультиплексора периодически возникает проблема размещения «лиш- 
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них», то есть преждевременно пришедших байтов, для которых в поле УС-4 нет места. 
В качестве дополнительного пространства используется трехбайтовое поле НЗ. Указатель 
при этом уменьшается на единицу, поэтому такая операция носит название отрицательного 
выравнивания. 


Для выравнивания других типов виртуальных контейнеров используются аналогичные 
механизмы на основе указателей, хранящихся в заголовках соответствующих блоков. 


Мы уже говорили о том, что мультиплексоры ЗОН в основном не буферизуют данные 
пользователей, передавая их побайтно и потактно на выходные порты. В то же время зна- 
чения указателей и данные о структуре виртуальных контейнеров буферизуются, чтобы 
мультиплексор мог «на лету» выполнять операции мультиплексирования, демультиплекси- 
рования и коммутации. При изменении значения какого-либо указателя его новое значение 
заносится в буфер и применяется для нахождения начала очередного виртуального кон- 
тейнера. Для контейнеров верхнего уровня УС-4 и УС-3 (в блоке АО-3) начало контейнера 
находится непосредственно по значению указателя в 4-й строке заголовка кадра 5ТМ-1, 
а для контейнеров нижнего уровня \УС-11, УС-12, УС-2 (и УС-3 с блоком ТО-2) — за две 
операции: сначала нужно найти начало контейнера \УС-4 по его указателю, затем прочитать 
значение указателя контейнера нижнего уровня и найти положение этого контейнера от- 
носительно указателя в последовательности байтов контейнера верхнего уровня. 


Коммутация в ЗОН 


Теперь рассмотрим, каким образом сеть ЗОН коммутирует пользовательские соединения 
5ТМ-М. Напомним, что, в отличие от компьютерных сетей с коммутацией пакетов, сети 
ЗОН являются сетями с коммутацией каналов, причем соединения между пользователя- 
ми сети с помощью этих каналов носят полупостоянный характер, то есть не изменяются 
в течение длительного промежутка времени между операциями по переконфигурации сети, 
когда создаются новые соединения. Кроме того, каждое соединение-канал характеризуется 
определенной и известной пропускной способностью. 


Единицей коммутации в технологии 5ОН являются виртуальные контейнеры — имен- 
но они, а не кадры ЭТМ-1, фигурируют в таблицах коммутации мультиплексоров сети. 
Следовательно, контейнеры должны быть однозначно идентифицированы в структуре 
кадра $ТМ-1. Не существует единого стандартного способа идентификации виртуальных 
контейнеров ЗОН, но на основе имеющейся у администратора сети схемы отображения 
и мультиплексирования это достаточно просто сделать, присвоив номера тайм-слотам 
контейнеров при их мультиплексировании в блоки более высокого уровня. 


Пусть, например, пользовательские данные в нашей сети обрабатываются согласно схеме, 
фрагмент которой приведен на рис. 8.17, а номера тайм-слотов, выделенных каждому из 
мультиплексируемых блоков, соответствуют указанным на рисунке. Тогда набор чисел 
(2, 5, 3) однозначно идентифицирует виртуальный контейнер УС-12. 


Заметим, что при локализации байтов виртуального контейнера УС-12 в кадре ЗТМ-1 по 
его составному идентификатору мы использовали знание конкретного варианта отобра- 
жения и мультиплексирования, назначенного данному мультиплексору администратором 
при конфигурировании. Без этого мы бы не смогли однозначно определить, какой тип 
контейнера задает идентификатор 2, 5, З и какой конкретно виртуальный контейнер из 
множества контейнеров этого типа имеется в виду. 
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Рис. 8.17. Пример идентификации виртуального контейнера 


Если добавить к идентификатору 2, 5, 3 виртуального контейнера номер порта, на который 
поступают или передаются его данные, например РЗ, то мы получим полный идентификатор 
РЗ, 2, 5, 3, который может использоваться в таблицах коммутации мультиплексора $ТМ-М№. 


Проиллюстрируем технику коммутации виртуальных контейнеров на примере сети 
(рис. 8.18). 


Таблица Таблица коммутации МОХ-2 
коммутации МОХ-1 
А1,1<_> А2, 1 

Р1 <> {А1, 1} А], 24-х А29 

А1, 3<> А2, 3 
А1, 4<_> А2, 4 


А2, 5= > РЗ (соединение БЗ - 01 


Р2 <—>{А1, 2} 


РЗ < > (А1, 3} 


) 
Р4 <> (А1, 4) А2, 6= > Р4 (соединение 04 - 92) 
А2, 7<> рі (соединение 61 - 93) 

) 


А2, 8= >Р?2 (соединение 62 – 04 


Пользовательские 
потоки ЭТМ-1 


Пользовательские 
потоки ЭТМ-1 


61 62 53 4 61 с2 с3 с4 
Пользовательские Пользовательские 
потоки ЭТМ-1 потоки ЭТМ-1 
Точка А Точка В Точка С Точка О 


Рис. 8.18. Коммутация пользователей 5ТМ-1 в сети 5ТМ4/5ТМ 16 


Пусть у нас имеются следующие исходные данные для проектирования сети: 


О пользователи сети а1—а4, 1—64, с1—с4 и 41—44 находятся в четырех географических 
точках А, В, Си О соответственно; 


О в каждой точке имеется по четыре пользователя и каждый из них имеет оборудование 
с интерфейсом 5ТМ-1 для подключения к нашей сети; 
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О пользователям необходимы следующие постоянные соединения скорости ЭТМ-1:а1— 
с2, а2—с1, а3—с4, а4—с3, 51—43, 52—44, 63—41, 54—42. 


На рисунке, с тем чтобы его не загромождать, показаны только два требуемых соединения: 
а4 — БЬ2 ис? — 44. 


Исходя из скоростей пользователей понятно, что в каждой точке нужно установить муль- 
типлексоры с четырьмя трибутарными портами $ТМ-1. Предположим, география распо- 
ложения точек такова, что эффективным решением является топология сети типа «цепь» 
с терминальными мультиплексорами МОХ-1 и МИХ-4 в точках А и О и промежуточными 
мультиплексорами ввода-вывода в точках Ви С. 


Топология соединений пользователей такова, что на участках А-В и С-Р необходимо 
передавать четыре потока 5ТМ-1 через агрегатные порты мультиплексоров, а на участке 
В-С — восемь потоков 5ТМ-1. В соответствии с таким распределением соединений мы 
можем выбрать для участков А-В и С-р агрегатные порты $ТМ-4, а для участка В-С — 
агрегатные порты ЗТМ-16 как порты минимального уровня, которые способны передавать 
данные восьми потоков 5ТМ-1. 


Возможно, это не самое дальновидное решение, потому что на участках А-В и С-р не 
остается свободной пропускной способности, из-за чего наша сеть не сможет обслуживать 
новых пользователей. Тем не менее текущие потребности пользователей удовлетворить мы 
можем, если правильно составим и загрузим в мультиплексоры соответствующие таблицы 
коммутации. 


Мы выбрали достаточно простой случай, требующий коммутации контейнеров УС-4, по- 
этому идентификатор контейнера будет состоять: 


О для портов ЗТМ-1 — только из номера порта, так как в кадре ЗТМ-1 имеется только 
один контейнер УС-4, не требующий идентификации; 


О для портов 5ТМ-4 — из двух компонент: номера порта и номера 5ТМ-1 в кадре 5ТМ-4. 
Дальнейшая идентификация не нужна, поскольку виртуальный контейнер УС-4 име- 
ется в кадре ЗТМ-1 в единственном экземпляре. 


Если считать, что номер пользователя соответствует номеру порта Рп мультиплексора, 
а агрегатный порт обозначается как А1, то таблица коммутации мультиплексора МОХ-1 
может иметь следующий вид: 


Рі <—>{А1, 1}, 
Р2 <—> {А1, 2}, 
РЗ <—> {А1, 3}, 
Р4 <—> (А1, 4). 


Каждая запись говорит о том, что байты контейнера УС-4 из кадра ЗТМ-1 трибутарного 
порта РК копируются в байты виртуального контейнера УС-4 К-го кадра ЭТМ-1 составного 
кадра 5ТМ-4 агрегатного порта А1. 


Мультиплексор ввода-вывода МОХ-2 должен передавать кадры 5ТМ-1, поступающие на 
его агрегатный порт А1, без изменения на агрегатный порт А2. Так как порт А2 — это порт 
ЗТМ-16, то у него имеется возможность передавать данные четырех пользовательских 
потоков ЭТМ-1 в любых четырех из 16 кадров ЗТМ-1, входящих в состав кадра ЗТМ-16. 
Пусть мультиплексор МОХ-2 выбрал из 16 кадров первые четыре. Тогда в его таблице 
коммутации МОХ-2 могут быть сформированы следующие записи: 


Глава 8. Технологии первичных сетей РОН и $О0Н 267 


АИ 
{А1, 2} <—> (А2, 2), 
АЗ. 
{А1, 4} <-> (А2, 4). 


Кроме того, мультиплексор МИХ-2 должен вывести из кадра 5ТМ-16 четыре кадра 5ТМ-1 
от пользователей 41-44, которым нужны соединения с пользователями 61-54. Если 
предположить, что мультиплексор МОХ-3 сконфигурирован так, что он передает данные 
пользователя 41 в пятом кадре 5ТМ-1 кадра ЗТМ-16, пользователя 42 — в шестом, поль- 
зователя 43 — в седьмом и пользователя 44 — в восьмом, то дополнительно в его таблице 
коммутации должны появиться такие строки: 


{А2, 5} <—> РЗ (соединение ЬЗ — 41); 
(А2, 6} <—> Р4 (соединение 4 — 42); 
{А2, 7} <—> Р1 (соединение Ь1 — 43); 
{А2, 8} <—> Р2 (соединение Ь2 — 44). 


Читатель может сам завершить конфигурирование мультиплексоров сети, предложив 
таблицы коммутации мультиплексоров МОХ-З и МОХ-4. 


Технология 5ОН не предусматривает автоматическое нахождение маршрута, как это де- 
лают протоколы маршрутизации в пакетных сетях. В связи с этим таблица коммутации 
формируется оператором сети либо вручную, либо с помощью программного обеспечения 
системы управления сетью. 


Отказоустойчивость сетей $0Н 


Одним из главных требований к магистральным сетям, наряду с высокой скоростью, яв- 
ляется высокая надежность. Надежность является одной из сильных сторон сетей 5ОН 
и обеспечивается за счет ряда средств отказоустойчивости, которые позволяют сети быстро 
(менее чем за 50 миллисекунд) восстановить работоспособность в случае отказа какого- 
либо элемента сети — линии связи, порта мультиплексора или мультиплексора в целом. 
Такое быстрое переключение на резервный путь очень важно при передаче голосового 
трафика, поскольку обеспечивает приемлемое для абонентов телефонной сети качество 
связи даже в условиях отказов элементов сети. 


В $ОН в качестве общего названия механизмов отказоустойчивости используется термин 
«автоматическое защитное переключение» (Ащотайс Ргобесиоп Ѕуісһіпұ), который 
означает переход на резервный путь или резервный элемент мультиплексора при отказе 
основного. В сетях ЗОН применяются три схемы защиты: 


О Защита 1+1. Это означает, что резервный элемент выполняет ту же работу, что и ос- 
новной. Например, при защите трибутарного порта по схеме 1+1 трафик проходит как 
через рабочий порт (резервируемый), так и через защитный порт (резервный). Это 
наиболее качественный способ защиты, так как он обеспечивает минимальное время 
переключения на резервный элемент, который постоянно передает данные. Таким об- 
разом, приемной стороне нужно только начать использовать его данные, а не данные 
рабочего элемента. Это основная схема защиты сетей $ОН. 
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О Защита 1:1. Эта схема подразумевает, что защитный элемент в нормальном режиме не 
выполняет функции защищаемого элемента, а переключается на них только в случае 
отказа, то есть этот процесс потенциально более медленный, чем 1+1, но более эконо- 
МИЧНЫЙ. 


Ц Защита 1:М№. Такая схема предусматривает выделение одного защитного элемента на 
№ защищаемых. При отказе одного из защищаемых элементов его функции начинает 
выполнять защитный элемент, при этом остальные элементы остаются без защиты — до 
тех пор, пока отказавший элемент не будет заменен. Отметим, это самый экономичный, 
но вместе с тем и наименее качественный механизм защиты. 


На основе этих схем строятся различные механизмы защиты сетей $ОН. 


В топологии линейной цепи 5ЮН чаще всего применяется защита мультиплексной секции 
(Мшар[ех Зесйоп Ргщесйоп). Эта защита работает между двумя смежными мультиплек- 
сорами. Она включает две пары портов и две линии связи: для рабочего канала (верхняя 
пара соединенных кабелем портов на рис. 8.19) конфигурируется защитный канал (нижняя 
пара портов, канал показан пунктиром). 


Магист- 


ользовательские ральный Пользовательские 


потоки Магистральный Магистральный поток, поток, Р 
поток, рабочий канал рабочий 
рабочий канал канал 
Магист- 4 
альный матистрав НИТОК; Магистральный поток, 
р защитный канал 


поток, защитный канал 


защитный 
канал 


Пользовательские 
потоки 


Точка С 


Пользовательские 
потоки 


Точка В Точка О 


Точка А 


Рис. 8.19. Защита мультиплексной секции 


В исходном состоянии весь трафик передается по обоим каналам (как по рабочему, так 
и по защитному), то есть применяется защита по схеме 1+1. В случае отсутствия или ис- 
кажения принимаемых данных по рабочему каналу (из-за отказа порта, ошибки сигнала, 
деградации сигнала и т. п.) принимающий мультиплексор фиксирует отказ и переходит на 
прием данных по защитному каналу. 


Топология кольца является хорошей основой отказоустойчивой сети, так как она не требует 
дополнительных портов и кабелей для организации защитного пути: любые две точки на 
кольце всегда могут быть связаны двумя путями — по и против часовой стрелки. В кольце 
мультиплексоров 50М№ применяется механизм отказоустойчивости, называемый разделя- 
емой защитой мультиплексной секции в кольцевой топологии (Ми|ирех Зесйоп Ѕһагей 
Ргоѓесіпоп Кіпе). Этот механизм основан на резервировании некоторой части пропускной 
способности кольца для пользовательских соединений. В этом его отличие от вышеопи- 
санного механизма защиты мультиплексной секции, который резервирует целиком все 
физическое соединение между соседними мультиплексорами, то есть образующие его 
порты и кабели. Зарезервированная часть пропускной способности магистрали кольца 


Глава 8. Технологии первичных сетей РОН и $ОН 269 


не закреплена за определенными соединениями, а выделяется динамически в зависимости 
от ситуации, то есть это — защита по схеме 1:№. 
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Рис. 8.20. Кольцо ЗТМ-1 с пользователями ЅТМ-1 


Проиллюстрируем работу механизма разделяемой зашиты мультиплексной секции на 
примере сети, изображенной на рис. 8.20. Эта сеть состоит из четырех соединенных 
в магистральное кольцо мультиплексоров ввода-вывода, А, В, С и О, к каждому из кото- 
рых подключено оборудование четырех пользователей: а1—а4, Ь1—64, с1—с4 и 41—44. 
Оборудование пользователей работает на скорости ЗТМ-1 и пользовательские данные 
инкапсулированы в контейнер УС-4. Магистральные порты мультиплексоров работают 
на скорости 5ТМ-4. Магистральный поток состоит из четырех контейнеров УС-4, что 
позволяет выполнять различные варианты коммутации пользовательских контейнеров 
через магистраль. Половина пропускной способности магистрали (два контейнера УС-4 
кадра ЗТМ-4, изображены толстыми линиями) отведена соединениям пользователей, 
а вторая половина (оставшиеся два контейнера УС-4, изображены тонкими линиями) 
зарезервирована для защиты этих соединений. На рисунке показаны соединения между 
пользовательскими контейнерами, выполненными в сети: а3—с3, а4—Ъ1 и др. Контейнеры 
магистрали \УС-4, которые используются в этих соединениях, являются рабочими контей- 
нерами соединений, а неиспользованные — защитными. 
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На рис. 8.21 показана реакция разделяемой зашиты мультиплексной секции на повреждение 
кабеля между мультиплексорами А и В. 


Ь1 626364 


2. 


Пользователи у 
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с4 
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Рис. 8.21. Реконфигурация кольца при отказе 


Мультиплексоры А и В, заметив прекращение получения сигналов по рабочим контейне- 
рам соединений аЗ — сЗ и а4 — 1, реконфигурируют таблицы этих соединений, используя 
защитные контейнеры и неповрежденные связи кольца между мультиплексорами в на- 
правлении против часовой стрелки. В результате соединение аЗ — сЗ теперь проходит 
через промежуточный мультиплексор О, ане В, как это было до отказа. Соединение а4 — Б1 
стало проходить через промежуточные мультиплексоры Ш и С. В нашем примере защита 
организована по схеме 1:1, так как резервирование половины пропускной способности 
гарантирует, что для каждого соединения всегда найдется резервный контейнер в каждом 
мультиплексоре. Возможна реализации защиты по схеме 1:№, если в кольце выделить 
только №-ю часть пропускной способности для резервирования. 


Технологии первичных 
сетей ОМОМ и ОТМ 


Сети ОМОМ 


Принцип работы 


Технология уплотненного волнового мультиплексирования (Пепе У/ауе Юіу1ѕіоп 
Мшар[ехшя, ОРОМ) предназначена для создания первичных сетей на основе оптических 
магистралей, работающих на мультигигабитных и терабитных скоростях. 


До появления технологии ОУ/ЮМ все оборудование (как компьютерных сетей, так и пер- 
вичных сетей), использующее волоконно-оптические кабели в качестве среды передачи 
информации, использовало модулированный сигнал одной длины волны — либо 850 нм из 
первого окна прозрачности при передаче по многомодовому волокну, либо 1310 нм или 
1550 нм при передаче на большие расстояния по одномодовому волокну. Технология ОУУОМ 
использует одновременно модулированные сигналы нескольких длин волн, увеличивая тем 
самым пропускную способность линии связи в то количество раз, сколько волн используется. 
За счет этого классического приема — применения большого числа параллельных носителей 
информации — обеспечивается революционный скачок в производительности сети. 


Подобно кабелям с большим количеством параллельных жил здесь в одном оптическом 
волокне одновременно используется большое количество световых волн разной длины — 
лямбд. Этот термин возник в связи с традиционным для физики обозначением длины 
волны символом \. Известно, что белый свет, воспринимаемый человеческим глазом, со- 
стоит из электромагнитных волн различной длины, образующих непрерывный спектр от 
примерно 400 нм до 780 нм. Этот факт демонстрируется существованием радуги на небе 
после дождя, а также простым опытом с оптической призмой, которая разлагает белый свет 
на его составляющие, воспринимаемые глазом как красные, оранжевые, желтые, зеленые, 
голубые, синие и фиолетовые лучи. 


Оборудование О\УУОМ поступает аналогично призме, расщепляя (демультиплексируя) 
составной сигнал, который называют неокрашенным (соІоиг1еѕѕ), на отдельные составля- 
ющие сигналы — волны определенной длины, которые называют окрашенными (соЇошгед). 
Отличие заключается в том, что технология О\/ОМ работает с невидимыми для человече- 
ского глаза инфракрасными волнами из третьего окна прозрачности оптического волокна 
со средней длиной волны 1550 нм. Это окно прозрачности выбрано как более «плоское», 
чем окно со средней длиной волны 1310 нм, то есть при той же ширине окна в 100 нм все 
волны этого диапазона затухают почти одинаково, что не наблюдается в окне со средней 
волной 1310 нм. 


Сети О\У/ОМ работают по принципу коммутации каналов, при этом каждая световая волна 
представляет собой отдельный спектральный канал и несет собственную информацию. 
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ПРИМЕЧАНИЕ —— м 


В технологии О\УШМ информация переносится модулированным синусоидальным сигналом. Из- 
вестно, что такой сигнал может быть представлен набором синусоид, принадлежащих некоторому 
частотному спектру. Поэтому термин «волна» является достаточно условным, а более точным явля- 
ется термин «спектральный канал». Когда говорят «волна», то имеется в виду «центральная волна» 
диапазона спектра, отведенного для некоторого спектрального канала. 


Манипуляции со световыми волнами в оборудовании ОУУОМ основаны на физических 
явлениях, изученных классической оптикой и являющихся общими для электромаг- 
нитных колебаний любых видов. В главе 7 мы рассмотрели отрицательное влияние 
некоторых таких явлений на прохождение световых сигналов через оптическое волок- 
но — например, искажение формы сигнала из-за хроматической или поляризационной 
дисперсии. В то же время оптические явления можно с пользой применить для операций 
мультиплексирования/демультиплексирования световых волн, их коммутации и усиле- 
ния. Наиболее часто для манипуляций со световыми волнами используются следующие 
явления (рис. 9.1): 


Дисперсия. Она проявляется в том, что световые лучи разной длины имеют различные 
углы преломления на границе двух сред с различной оптической плотностью, что может 
быть использовано для мультиплексирования/демультиплексирования световых сигналов. 
Именно такой границей является грань призмы, поэтому красный луч проходит через при- 
зму под одном углом, синий — под другим ит. д. 
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в) Дифракция г) Отражение 
Рис. 9.1. Оптические эффекты 
Иными словами, оптическая призма работает как демультиплексор неокрашенного свето- 


вого сигнала. Ее можно использовать и в обратном направлении — как мультиплексор для 
смешения окрашенных лучей. 
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Интерференция. Это эффект взаимодействия двух или более волн одной частоты, име- 
ющих сдвиг по фазе. В зависимости от величины сдвига фазы интерференция может 
быть конструктивной — когда мощность результирующего сигнала увеличивается, или 
деструктивной — когда мощность результирующего сигнала уменьшается. Максимум 
конструктивного эффекта достигается при нулевом сдвиге фазы между волнами — когда 
волны колеблются синфазно, а максимум деструктивного эффекта (то есть минимум 
интенсивности света) — при сдвиге фазы на половину периода, когда волны колеблются 
противофазно. Примером результата интерференции волн после прохождения круглого от- 
верстия (диафрагмы) являются кольца Френеля. Помимо усиления или ослабления сигнала 
этот эффект, как мы увидим дальше, также можно использовать для демультиплексирова- 
ния/мультиплексирования световых сигналов. 


Дифракция. Этот термин используется для описания различных явлений, но чаще всего — 
для описания эффектов отклонения от законов геометрической оптики при распростра- 
нении лучей света. В таком терминологическом контексте дифракция означает, что рас- 
пространение волны отклоняется от прямой линии при прохождении через отверстие или 
препятствие, размеры которого намного больше длины волны. Дифракция тесно связана 
с интерференцией. Так, огибание волной приводит к интерференции волн, если огибающие 
волны взаимодействуют с прямыми волнами, поскольку они отличаются по фазе. Диф- 
ракция может использоваться как механизм, вызывающий нужную интерференцию волн. 


Отражение. Полное отражение волны зеркалом может использоваться для ее направления 
в определенный волновод и тем самым ее коммутацию на определенный выходной порт 
устройства. В зависимости от угла падения и коэффициента преломления материала может 
наступить полное отражение световой волны. Частичное отражение полупрозрачным мате- 
риалом может использоваться для интерференции прямой и отраженной волны с целью ее 
усиления или подавления. При дисперсии белого света часть энергии волн также отражает- 
ся. В той части рис. 9.1, которая иллюстрирует эффект дисперсии, этот эффект не показан. 


Технология ОМ/ОМ является революционной не только потому, что она в десятки раз повысила 
верхний предел скорости передачи данных по оптическому волокну, но и потому, что открыла но- 
вую эру в технике мультиплексирования и коммутации, выполняя эти операции непосредственно 
над световыми сигналами, не прибегая к промежуточному преобразованию их в электрическую 
форму. 


Во всех других технологиях, в которых световые сигналы также используются для пере- 
дачи информации по оптическим волокнам, например ЗОН и высокоскоростной Ефегпе, 
световые сигналы обязательно преобразуются в электрические, и только потом выполня- 
ется их мультиплексирование и коммутирование. 


Заметим, что так как каждая световая волна представляет собой электромагнитное из- 
лучение с колебаниями определенной частоты (квантовую природу света мы не будем 
затрагивать), мильтиплексирование ПУРМ является частным случаем частотного муль- 
типлексирования ЕОМ. 


Основными функциями О\/ОМ являются операции мультиплексирования и демуль- 
типлексирования, а именно — объединение различных волн в одном световом пучке 
и выделение информации каждого спектрального канала из общего сигнала. Поскольку 
оборудование О\/ОМ почти всегда работает совместно с оборудованием ЗОН или ОТМ, 
оно выполняет для этих цифровых технологий функцию кодирования светового сигнала. 
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Частотные планы 


Ширина спектра окна прозрачности, в котором работает оборудование ОЎУ ЮМ, составляет 
примерно 10 000 ГГЦ, или 100 нм. Разбиение этого диапазона на поддиапазоны, выделяемые 
для каждого отдельного спектрального канала, называется частотным планом. 


Мультиплексирование О\/ОМ называется «уплотненным» (4епзе) из-за того, что рас- 
стояние между длинами соседних волн в его частотном плане существенно меньше, чем 
в другой технологии, использующей тот же принцип мультиплексирования световых 
волн — технологии грубого волнового мультиплексирования (Соагзе Мауе Ю1у1ѕіоп 
Миарехая, СУРОМ). В технологии С\УОМ ширина спектрального канала равна 20 нм, 
или 2556 ГГц. Из-за того что волны соседних спектральных каналов находятся на большом 
расстоянии друг от друга, сигнал отдельного канала легче выделять из общего светового 
сигнала и декодировать. Сегодня С\УОМ используется в различных скоростных вариантах 
технологии Е‹ћегпеї, которые рассматриваются в главе 10. 


До недавнего времени все частотные планы ОУ/УОМ были фиксированными, то есть 
всем спектральным каналам отводились слоты частот равной ширины. Рекомендацией 
ІТО-Т С.694.1 для систем О\УШОМ определено четыре фиксированных частотных плана 
с шагом (то есть расстоянием между центральными волнами каждого слота) в 100, 50, 
25 и 12,5 ГГц. Эти планы показывают, что технология О\/ОМ имеет право назваться 
«уплотненной», так как ее шаг в любом варианте намного меньше шага в 2556 ГГц тех- 
нологии СУУОМ. 


$ТМ-64 при интервале 100 ГГц ЅТМ-16 при интервале 100 ГГц 
ЅТМ-64 при интервале 50 ГГц ЅТМ-16 при интервале 50 ГГц 


Перекрытие 


Рис. 9.2. Перекрытие спектра соседних волн для разных частотных планов и скоростей 
передачи данных 


Оборудование ОҰРОМ первого поколения работало в основном с частотным планом 
с шагом 100 ГГц, или 0,8 нм. Использование плана с наиболее крупным шагом на на- 
чальном этапе развития технологии понятно, потому что реализация частотных планов 
с меньшим шагом (50, 25 и 12,5 ГГц) предъявляет гораздо более жесткие требования 
к оборудованию О\№РМ, особенно в том случае, если каждая волна переносит сигналы 
со скоростью выше 10 Гбит/с. Это легко объяснить, если вспомнить, что спектр сигнала 
тем шире, чем выше частота его модуляции (при фиксированной технике модуляции). 
Например, спектр сигнала 5ТМ-64 шире спектра сигнала 5ТМ-16 (рис. 9.2), что приводит 
к частичному перекрытию сигналов 5ТМ-64 у соседних волн при использовании плана 
50 ГГц, в то время как при плане 100 ГГц такого перекрытия не происходит. Очевидно, 
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что переход к более узким слотам для увеличения числа волн требует применения более 
сложных методов кодирования, позволяющих уместить спектр сигнала в отведенную 
полосу пропускания. 


В 2012 году организация ГТО-Т представила концепцию гибкого частотного плана, в соот- 
ветствии с которой волновые каналы могут иметь различную ширину слота в зависимости 
от требуемой пропускной способности. Этот план определяет центр частотного слота с дис- 
кретностью 6,25 ГГц, при этом минимальная ширина слота должна быть кратна 12,5 ГГц. 
При гибком частотном плане допускается любая комбинация слотов различной ширины, 
при условии что они не перекрываются. При реализации гибкого частотного плана в одном 
волокне могут сосуществовать каналы с различной шириной полосы пропускания и, со- 
ответственно, с различной пропускной способностью — например, 10 каналов с шириной 
полосы пропускания 100 ГГц и 60 каналов с шириной полосы пропускания 50 ГГц. При- 
менение гибкого частотного плана значительно повышает эффективность магистрали 
ОМ/ОМ, которая может быть ближе приспособлена к потребностям конкретной сети по 
сравнению с сетью, работающей с фиксированным частотным планом. Однако при этом 
оборудование становится более сложным. 


Оборудование и топологии сетей ОМОМ 


Сети ОМ РОМ поддерживают те же топологии, что и сети 5ОН, то есть линейную цепь, 
кольцо и произвольную смешанную топологию. 


Для организации магистрали типа «линейная цепь» необходимо установить (рис. 9.3): 


Ц терминальные мультиплексоры О\/ЮМ в ее конечных точках (на рисунке обозначены 
как Т-МИХ); 


О оптические мультиплексоры ввода-вывода (Орйса| АЗ4-Огор Мщар]ехег, ОАОМ) 
в тех промежуточных точках, где имеется оборудование пользователей: 


О оптические усилители (А), если между конечными точками требуется промежуточное 
усиление сигнала; 


Ц устройства компенсации дисперсии (на рисунке не показаны), если между конечными 
точками требуется устранение дисперсии сигнала. 


Магистральный 


Пользовательские неокрашенный 

сигналы, сигнал Оптический 

одна волна усилитель 

а М Ап № 2) 
506: \ 5 к 


Рис. 9.3. Линейная цепь ОМОМ 
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В приведенной на рисунке схеме дуплексный обмен между абонентами сети (представлен- 
ными оборудованием ЗОН или маршрутизаторами компьютерных сетей) происходит за 
счет однонаправленной передачи всего набора волн ^1—Ап по двум волокнам. Существует 
и другой вариант работы сети О\УОМ, когда для связи узлов сети используется одно 
волокно. Дуплексный режим достигается путем двунаправленной передачи оптических 
сигналов по одному волокну — половина волн частотного плана передает информацию 
в одном направлении, половина — в обратном. 


Рассмотрим устройство и принципы работы типовых узлов линейной цепи ОУ/ОМ. Заме- 
тим, что кольцо ОИЮМ состоит из тех же элементов, что и линейная цепь, за исключением 
терминальных мультиплексоров. В кольце все мультиплексоры являются мультиплексо- 
рами ввода-вывода, поэтому отдельно организацию колец О\/ОМ мы рассматривать не 
будем. Как и кольца ЗОН, кольца О\/УОМ обладают повышенной отказоустойчивостью, 
присущей кольцевой топологии: всегда имеется возможность обойти отказавший участок 
кольца за счет направления сигнала в противоположном направлении. 


Терминальные мультиплексоры 


Терминальный мультиплексор Т-МОХ состоит из транспондеров (Т) и блоков мульти- 
плексирования (М) и демультиплексирования (О) (см. рис. 9.3). 


Транспондер ({гапзт!Цег-гезроп4ег) является портом ввода-вывода пользовательских 
сигналов. Он преобразует оптический сигнал, поступающий от абонентского устройства 
пользователя (850 нм или 1310 нм), в сигнал из диапазона, в котором работает оборудо- 
вание ОУУШОМ, и обратно. Например, транспондер может принимать сигнал ЗОН волны 
1310 нм и преобразовывать его в волну 1531.1157 нм. Каждый транспондер поддерживает 
только одну определенную выходную волну диапазона О\УОМ (в примере это волна 
1531.1157 нм). Такое фиксированное однозначное отображение пользовательский сиг- 
нал — волна ВИУЮМ может быть интерпретировано как приписывание абоненту некоторого 
идентификатора, который затем будет фигурировать в таблицах коммутации. 


Для преобразования волн транспондеры сначала преобразуют принимаемый оптический 
сигнал в электрический, а затем электрический сигнал — в оптический сигнал новой длины 
волны, то есть работают по схеме О-Е-О, подобно регенераторам и мультиплексорам $ОН. 


Для генерирования нужной волны диапазона О\/ОМ транспондеры используют настраи- 
ваемые лазеры. Добавление новой волны в магистраль требует установки дополнительного 
транспондера. Транспондеры имеют мощные передатчики, обеспечивающие устойчивую 
работу без промежуточного усиления на расстояниях до 80 км. 


Блок мультиплексирования (М) выполняет смешение окрашенных сигналов, получаемых 
от транспондеров, в магистральный неокрашенный сигнал. Блок демультиплексирования 
(0) выполняет обратную операцию. Обычно один и тот же блок может выполнять обе 
операции. Блок мультиплексор/демульплексор ОУ/УОМ может быть построен на основе 
разнообразных оптических механизмов. 


В оптических мультиплексорах, поддерживающих сравнительно небольшое количество длин 
волн в волокне, применяются тонкопленочные фильтры. Тонкопленочный фильтр может 
представлять собой торец оптического волокна, скошенный под углом 30—45°, с нанесен- 
ными на него слоями покрытия, отличающимися толщиной и показателем преломления 
света. При определенной толщине и коэффициенте преломления слоев тонкопленочный 
фильтр отражает (фильтрует) волну одной определенной длины, а остальные — про- 
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пускает. Таким образом, фильтр выделяет одну волну из общего неокрашенного сигнала. 
Для выделения всех волн тонкопленочные фильтры соединяют каскадом, что позволяет 
выполнить полное или частичное демультиплексирование неокрашенного сигнала. Этот 
же набор фильтров работает как мультиплексор, если окрашенные сигналы пропускаются 
в обратном направлении. Тонкопленочные фильтры вызывают весьма сильное затухание, 
поэтому при большом количестве составляющих фильтров в каскадном соединении сиг- 
нал становится слишком слабым, что и ограничивает количество волн в мультиплексоре 
такого типа до 16-32. 


Для систем с большим числом волн требуются другие принципы фильтрации и мультиплек- 
сирования; наиболее популярны так называемые интегральные дифракционные фазовые 
решетки, или дифракционные структуры, или фазары. Такой мультиплексор состоит из 
двух пластин, в которых свет распространяется свободно, рассеиваясь по всей области 
пластины (рис. 9.4). Пластины соединены набором волноводов (решеткой волноводов), по 
числу волн, которые нужно выделить из неокрашенного сигнала. На рисунке для упроще- 
ния показаны четыре таких волновода, то есть предполагается, что неокрашенный сигнал 
состоит из четырех волн. Приходящий неокрашенный сигнал А; попадает на входной порт. 
Затем этот сигнал свободно проходит через волновод-пластину и рассеивается по множе- 
ству волноводов. Сигнал в каждом из волноводов по-прежнему является мультиплексным, 
то есть каждая волна (А, А, Аз, №) остается представленной во всех волноводах. 


Область свободного 
распространения волн 


Область свободного М Конструктивная 
распространения волн \ интерференция 
Длина № волны Л1 


л 


‚ волновода а ы М 
> ло Выходные 
х окрашенные 


» д Порты 


Входной 
неокрашенный 
порт 


Массив волноводов Конструктивная интерференция 
волны Л 


Рис. 9.4. Демультиплексирование сигнала с помощью дифракционной фазовой решетки 


Важно, что все волноводы имеют различную длину, отличающуюся на постоянную вели- 
чину шага Аа. После прохождения волноводов все неокрашенные волны попадают во вто- 
рую пластину, свободно распространяясь в ней. При этом сигналы, пришедшие из разных 
волноводов, имеют различную пространственную фазу. Этот сдвиг произошел из-за того, 
что каждый сигнал прошел путь различной длины по своему волноводу. В результате про- 
исходит интерференция волн и в пространстве второй пластины образуются максимумы 
(там, где произошла конструктивная интерференция) и минимумы (там, где произошла 
деструктивная интерференция) интенсивности волн. При этом области максимума и ми- 
нимума для каждой из составляющих волн находятся в различных точках пространства 
пластины из-за дисперсии волн на границе пластины. Геометрия выходной пластины, 
соотношение коэффициентов преломления пластины и волноводов, а также шаг Да выби- 
раются так, чтобы область максимума некоторой волны находилась в районе ее выходного 
порта-волокна. На рисунке такие области показаны для двух волн: А И А4. 
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Мы рассмотрели процесс демультиплексирования неокрашенного света на его составля- 
ющие волны. Мультиплексирование происходит обратным путем, при этом отдельные 
окрашенные сигналы поступают на порты второй пластины, а из порта первой пластины 
выходит составной неокрашенный сигнал. 


Дифракционные фазовые решетки выполняются в виде компактных интегральных 
модулей. Они являются ключевыми элементами мультиплексоров О\/ОМ и обычно 
применяются для полного демультиплексирования светового сигнала, так как хорошо 
масштабируются и потенциально могут успешно работать в системах с сотнями спек- 
тральных каналов. 


Оптические мультиплексоры ввода-вывода 


Оптические мультиплексоры ввода-вывода (ОАОМ) могут вывести (операция Огор) из 
неокрашенного сигнала волну определенной длины и ввести туда волну той же длины 
(операция АЧ), так что набор волн неокрашенного сигнала не изменится, при этом будет 
выполнено два соединения абонентов, подключенных к этому промежуточному мульти- 
плексору. 


Функциональная схема ОАРМ представлена на рис. 9.5: мультиплексор включает два 
модуля ввода-вывода, каждый из которых выполняет операции ввода-вывода с одной 
волной Ау. Левый модуль ввода-вывода работает с сигналами левого магистрального порта, 
а правый — правого. Операции ввода/вывода выполняются с абонентским оборудованием, 
подключенным к ОАРПМ через транспондеры. 


ОАВМ 


Модули 
ввода-вывода 


пленат 
14 
Левый | ТЕЕ! ‚ Правый 
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Оборудование абонентов сети ОМ/ОМ 


Рис. 9.5. Функциональная схема оптического мультиплексора ввода-вывода 


Модули ввода-вывода строятся на основе оптических фильтров (тонкопленочных или дру- 
гой конструкции). При выполнении операции вывода такой фильтр принимает неокрашен- 
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ный магистральный сигнал, отражает сигнал одной волны в выходной порт ввода-вывода, 
а сигналы всех остальных волн передает без изменения в виде выходного магистрального 
сигнала. При вводе волны фильтр работает в обратном направлении — он добавляет волну 
абонента (окрашенную волну) в общий магистральный сигнал. В соответствии с принципа- 
ми работы сети ОУУЮМ во избежание коллизий фильтру не позволяется добавлять волну 
в магистральный сигнал, если она там уже существует. В примере, показанном на рис. 9.5, 
модуль ввода добавляет волну Ал, потому что эта волна добавляется к сигналу уже после 
того, как она же была удалена из него другим модулем ввода-вывода, так что коллизии 
волн не наблюдается. 


Модули ввода-вывода поддерживают операцию ввода-вывода только одной определенной 
волны — той, на которую настроен ее оптический фильтр. Для ввода-вывода нескольких 
волн нужно установить в ОАОМ несколько блоков ввода-вывода, физически соединив их 
с соответствующими транспондерами. 


Волоконно-оптические усилители 


Практический успех технологии ОУ/ОМ во многом определило появление волоконно-оп- 
тических усилителей. Эти оптические устройства усиливают световые сигналы в диапазо- 
не 1550 нм, не прибегая к промежуточному преобразованию их в электрическую форму, как 
это делают регенераторы, применяемые в сетях 5ОН. Системы электрической регенерации 
сигналов весьма дороги и, кроме того, рассчитаны на определенный тип кодирования 
сигнала. Оптические усилители, «прозрачно» передающие информацию, позволяют на- 
ращивать скорость магистрали без необходимости модернизировать усилительные блоки 
из-за применения другого метода кодирования. 


Наибольшее распространение в волоконно-оптических сетях получили усилители на при- 
месном волокне, то есть волокне, легированном каким-либо редкоземельным элементом. 
Лазер усилителя, называемый лазером накачки, возбуждает атомы примесей в легиро- 
ванном волокне. При возвращении в нормальное состояние эти атомы излучают свет 
на той же длине волны и с той же фазой, что и внешний сигнал, требующий усиления. 
Примером такого усилителя является усилитель ЕРЕА (Егит Ооре4 Ефег АтшрИйег), 
использующий примеси эрбия. Он имеет относительно узкую полосу усиления — 40 нм, 
поэтому применяется для усиления только части волн полного диапазона окна прозрач- 
ности 1550 нм. 


Более совершенным типом усилителя для передачи данных на скоростях 100 Гбит/с 
и выше считается усилитель, использующий эффект рассеяния света Рамана'. При ис- 
пользовании рамановского усилителя энергия лазера накачки вызывает распределенное 
усиление сигнала в самом передающем волокне. Рамановский усилитель обладает более 
широкой полосой усиления, до 100 нм, что позволяет покрыть весь диапазон окна про- 
зрачности 1550 нм, а значит, передавать большее количество волн в одном волокне. Кроме 
того, рамановский усилитель вносит меньше нелинейных шумов. Это позволяет увеличить 
максимальную длину участка между оптическими усилителями, которая может достигать 
200 км и более. 


і Чандрасекхара Раман открыл эффект рассеяния света в 1928 году, а в 1930 году получил за это 
Нобелевскую премию (в области физики). 
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Устройства компенсации дисперсии 


Хроматическая дисперсия (см. главу 7) вносит основной вклад в искажение формы све- 
тового сигнала, что, в свою очередь, может приводить к ошибкам в распознавании пере- 
даваемых дискретных данных приемниками ОУУОМ. Величина хроматической дисперсии 
зависит от длины волны, и, как следствие, сигналы различных волн, которыми оперирует 
технология ОМ\/ОМ, искажаются в разной степени, что делает трудной их компенсацию. 


Для уменьшения эффекта хроматической дисперсии в сетях О\УУОМ применяются специ- 
альные волоконно-оптические кабели со смещенной ненулевой дисперсией по стандарту 
С.655. Этот тип волокна не устраняет дисперсию полностью, но делает ее значительно 
меньшей, чем при использовании стандартного одномодового волокна (5.652, и, что важно, 
приблизительно одинаковой для всех волн диапазона 1550 нм. Существуют также устрой- 
ства компенсации хроматической дисперсии, которые устанавливаются в промежуточных 
узлах сети. 


Компенсация другого вида дисперсии — поляризационной модовой дисперсии — требуется 
только при передаче данных на скоростях выше 10 Гбит/с. Используемое при этом обо- 
рудование значительно сложнее устройств компенсации хроматической дисперсии. 


Применение цифровых сигнальных процессоров в приемниках оптических сигналов позво- 
ляет учесть эффекты дисперсии в алгоритмах выделения символов сигнала программным 
способом, поэтому в системах ОУ/ОМ/ОТМ, где такие приемники используются, необхо- 
димость в установке устройств компенсации дисперсии отпадает. 


Ячеистая топология и реконфигурируемые 
оптические кросс-коннекторы 


По мере развития сетей О\/ЮМ в них все чаще стала применяться ячеистая топология 
(рис. 9.6), которая обеспечивает лучшие показатели в плане гибкости, производительности 
и отказоустойчивости, чем остальные топологии. 


Для реализации ячеистой топологии необходим особый тип узлов, называемых оптиче- 
скими кросс-коннекторами (Ор@са| Сгоѕѕ-Соппесїог, ОХС), которые не только являются 
мультиплексорами ввода-вывода, то есть добавляют волны в общий транзитный сигнал 
и выводят их оттуда, но и поддерживают произвольную коммутацию между оптическими 
сигналами, передаваемыми волнами разной длины. 


Возможности оптических кросс-коннекторов по созданию ячеистой топологии оцени- 
ваются количеством магистральных связей, которые они могут поддерживать со своими 
непосредственными соседями по сети. Эти связи проектировщики сетей О\/ОМ называют 
направлениями. Так, верхний кросс-коннектор, изображенный на рис. 9.6, поддерживает 
четыре направления, а нижний — только два. (Нетрудно заметить, что мультиплексор 
ввода-вывода в линейной цепи или кольце всегда поддерживает только два направления.) 


Существуют оптические кросс-коннекторы двух типов: 


О оптоэлектронные кросс-коннекторы с промежуточным преобразованием сигналов 
в электрическую форму; 


О фотонные коммутаторы, или лямбда-маршрутизаторы, — полностью оптические 
кросс-коннекторы. 
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Рис. 9.6. Ячеистая топология сети ВММОМ 


У оптоэлектронных кросс-коннекторов имеется принципиальное ограничение — они хо- 
рошо справляются со своими обязанностями при работе на скоростях до 2,5 Гбит/с, но на 
скоростях 10 Гбит/с и выше габариты таких устройств и потребление энергии превышают 
допустимые пределы. Фотонные коммутаторы свободны от такого ограничения. 


Прочную позицию лидера фотонных коммутаторов занимают реконфигурируемые оп- 
тические мультиплексоры ввода-вывода (Кесопћригађе Ориса| АЗа-Огор МшШар!ехогс, 
ВКОАШОМ). Эти устройства являются кросс-коннекторами, то есть позволяют выполнить 
коммутацию пользователей сети О\№У ОМ с ячеистой топологией, соединяя пользователей 
между собой без ограничений. Напомним, каждый пользователь представлен в сети волной 
определенной длины после преобразования его исходного сигнала транспондером. 


Кроме того, КОАРМ являются удаленно реконфигурируемыми кросс-коннекторами. Под 
этим свойством понимается возможность администратора сети программно изменить 
конфигурацию таблицы коммутации этого устройства без необходимости физического 
добавления некоторых блоков, например транспондеров и модулей ввода-вывода. До 
появления КОАРМ для добавления новой волны инженер должен был лично явиться 
в точку присутствия оператора сети ОУ/ОМ. чтобы установить новый модуль на шасси 
мультиплексора и сконфигурировать его. Поскольку ранние сети О\/ОМ были достаточно 
статическими в отношении реконфигурации вводимых и выводимых потоков данных, то 
с необходимостью выполнять эту операцию путем физической перекоммутации операторы 
мирились. Развитие сетей О\/ОЮМ привело к усложнению их топологии и повышению 
динамизма, когда появление новых клиентов сети стало достаточно частым явлением, 
а значит, операции добавления или выведения волн из магистрали стали выполняться 
регулярно и требовать более эффективной поддержки. 


Один из возможных вариантов организации КОАРЮМ показан на рис. 9.7. Мультиплексор 
на этом рисунке поддерживает три магистральных направления (порты направлений 1, 2 
и З связывают его с другими мультиплексорами), а также три банка транспондеров Т, свя- 
занных через клиентский кросс-коннектор с портами ввода-вывода пользователей таким 
образом, что любой порт пользователя может быть соединен с любым транспондером из 
любого банка. Окрашенные сигналы в пределах одного банка транспондеров мультиплек- 
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сируются в неокрашенный сигнал с помощью мультиплексора (на рисунке «Бесцветный 


М/О») и передаются на порт банка транспондеров. 
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Кросс-коннектор клиентских портов 


Рис. 9.7. Структурная схема КОАОМ 


Задачей КОАРЮМ является маршрутизация волн, поступающих на все его порты, — от всех 
направлений и от всех банков транспондеров. Различают три возможности. В первом слу- 
чае КОАРМ участвует в коммутации двух удаленных пользователей совместно с другими 
КОАРМ сети и выполняет транзит волны из одного направления в другое. Во втором 
случае выполняется коммутация внешнего пользователя с локальным пользователем, то 
есть коммутация порта направления с портом банка транспондеров. Третий вариант, когда 
коммутируются два локальных пользователя за счет направления волны из одного банка 
транспондеров в другой, теоретически возможен, но не имеет практического смысла. 
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Основой коммутатора КОАРМ являются блоки селективной коммутации волн (\№ауе- 
[еп Ѕејесііуе З\исЬ, №88), которые, собственно, и выполняют коммутацию. Каждый 
из этих блоков имеет несколько входных портов и один выходной порт. На входные порты 
поступают неокрашенные сигналы как от каждого направления, так и от каждого банка 
транспондеров (в нашем примере каждый \\ 55 имеет шесть входных портов, принимаю- 
щих неокрашенные сигналы от трех направлений и от трех банков транспондеров). Для 
распределения каждого неокрашенного сигнала между шестью входными портами различ- 
ных блоков №55 используются оптические разветвители мощности (Ро\ег ЗрИцег, Р$). 


Функция блока №55 заключается в том, что он выбирает (з@есу) в соответствии с та- 
блицей коммутации из неокрашенного сигнала каждого своего входного порта по одной 
нужной волне, а затем мультиплексирует их и передает полученный неокрашенный сигнал 
в выходной порт. Выходной порт каждого из блоков №55 связан с портом одного из на- 
правлений или с портом одного из банков транспондеров. 


Блок Фрагмент таблицы 
коммутации 


коммутации 


Порт 1, А5 -> Порт 7, Л5 
Порт 2, Л1 <-> Порт 7, Л1 


Порт 3, 324 <-> Порт 7, ^24 


Порт 4, АЗ <-> Порт 7, АЗ 


Рис. 9.8. Схема устройства №55 


На рис. 9.8 показана функциональная схема одного из возможных вариантов №55, име- 
ющего шесть входных портов 1—6 и один выходной порт 7. Блок \! 55 выполняет ком- 
мутацию следующим образом. После демультиплексирования блоками О (например, 
с помощью дифракционных решеток), окрашенные волны от каждого порта поступают по 
волноводам на блок коммутации. Блок коммутации на основании таблицы коммутации, 
фрагмент которой помещен на рисунке, выбирает из каждого полного набора волн (напри- 
мер, из 80, если КОАРМ поддерживает в волокне столько волн) только те, которые нужно 
передать на выходной порт, а остальные отбрасывает. Передаваемые волны показаны на 
рисунке сплошными линиями, а отброшенные — пунктирными (для ясности на рисунке 
показано только несколько волн). Естественно, в выходной порт не могут попасть две 
одинаковые волны из разных входных портов, поскольку это запрещенная комбинация. 


Чтобы КОРАМ мог выполнять коммутацию своих локальных пользователей с любой 
волной любого направления, количество банков транспондеров должно быть равно ко- 
личеству № направлений, поддерживаемых КОАРМ. Действительно, так как одна и та же 
волна присутствует в одном экземпляре в каждом из № направлений КОАРМ, она может 
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быть использована для соединения М различных пользователей, подключенных через 
кросс-коннектор клиентских портов к данному КОАОМ, с внешними пользователями. 
Без соответствия количества банков транспондеров количеству направлений удаленное 
реконфигурирование не всегда будет возможно — например, если необходимо ввести-вы- 
вести одну и ту же волну из всех направлений, а количество банков транспондеров меньше, 
чем количество направлений. В обычном, нереконфигурируемом ОАПМ, такая проблема 
решается за счет физической установки нового модуля транспондеров, когда в этом воз- 
никает необходимость. Для удаленного реконфигурирования все необходимые ресурсы 
мультиплексора должны быть всегда в наличии, чтобы оставалось только удаленно из- 
менить связи между ними. 


Блок коммутации волн может быть реализован разными средствами. Один из наиболее ча- 
сто применяемых вариантов — микроэлектронная механическая система, использующая 
отражение света и представляющая собой набор подвижных зеркал очень маленького (диа- 
метром менее миллиметра) размера (рис. 9.9). Микроэлектронная механическая система 
получает составляющие волны от демультиплексора по различным волноводам. За счет 
поворота микрозеркала на заданный угол исходный луч определенной волны направляется 
в соответствующий выходной волновод. 


Набор зеркал 


ИА 


С “а 
Интерференция 
отсутствует РУ 
Набор 
волокон ‹ 
256-1042 порта 0,3—1 мм 


Рис. 9.9. Микроэлектронная механическая система кросс-коммутации 


Особенностью представленной архитектуры КОАРМ является возможность направить 
любую волну из любого направления в любой пользовательский порт ввода-вывода. 
Говорят, что КОАОМ, обладающий такой функциональностью, является неокрашенным 
и ненаправленным. Необходимо подчеркнуть, что не каждое устройство КОАРЮМ является 
неокрашенным ненаправленным, так как название устройства этого типа отражает только 
возможность его программного реконфигурирования, но не степень его гибкости. Напри- 
мер, устройства КОАРЮМ первого поколения имели только один банк транспондеров, так 
что пользовательские порты ввода-вывода были физически привязаны к определенной 
волне и программное реконфигурирование позволяло вывести определенную волну только 
в определенный порт, а изменение волны для некоторого пользователя требовало физи- 
ческого переключения его кабеля к другому порту. Поэтому такие устройства КОАРМ не 
могли быть названы неокрашенными. Аналогично обстояло дело и с ненаправленностью, 
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так как эти устройства КОАРМ были рассчитаны на кольцевые или линейные топологии 
и поддерживали только два направления. 


Сети ОТМ 


Причины создания сетей ОТМ 


В конце 90-х годов все больше стали проявляться недостатки технологии 5ОН, связанные 
прежде всего с ее изначальной ориентацией только на голосовой трафик. Основные недо- 
статки технологии 5ОН состоят в следующем: 


1. Мультиплексоры РН оперируют слишком «мелкими» единицами коммутации. Наличие 
таких клиентских каналов, как 1,5 Мбит/с, 2 Мбит/с или 34 Мбит/с, усложняет оборудо- 
вание сети. Когда скорость агрегатного канала возрастает до нескольких десятков гигабит 
в секунду и канал переносит при этом сотни индивидуальных виртуальных контейнеров 
в своих кадрах, количество операций мультиплексирования и коммутации, которые нужно 
производить оборудованию $ЮН в единицу времени, становится настолько большим, что 
его процессорные модули перестают справляться с вычислительной нагрузкой. Примером 
технологии, которая пострадала от такой ситуации, является технология АТМ (см. гла- 
ву 19). Ее коммутаторы справлялись с обработкой ячеек данных очень маленького размера 
в 53 байта, пока скорости передачи данных были меньше 1 Гбит/с. Барьер в 1 Гбит/с обо- 
рудование АТМ преодолеть не смогло — для этого ей потребовались дорогие высокопро- 
изводительные процессоры, в то время как коммутаторы Еегпеѓ, оперирующие пакетами 
данных в 1500 байт, справлялись со своей работой, используя процессоры, обладающие 
существенно более низкой скоростью и стоимостью. 


2. Технология РН не учитывает особенности трафика различного типа. Разработчиками 
технологии ЮН принимался во внимание только голосовой трафик, тогда как сегодня 
преобладающим является компьютерный трафик. Отображение потоков Ећегпеѓ со 
скоростью передачи данных 1 Гбит/с и 10 Гбит/с в кадры ЗОН возможно, но приводит 
к большим потерям пропускной способности, а потоки со скоростью передачи данных 100, 
200, 400 Гбит/с вообще превосходят максимальную скорость ЗОН. 


3. Недостаточная интеграция с сетями РУ’ОМ. Сети ЗОН создавались до появления тех- 
нологии ОМ\/ОМ, поэтому в них применялось простое кодирование МК/, имеющее широкий 
спектр сигнала, не рассчитанный на ширину спектральных каналов частотных планов 
О\/ОМ. До скорости 10 Гбит/с спектр такой ширины был еще приемлем, но для более 
высоких скоростей потребовалось другое решение. Недостаточная интеграция с О\/ОМ 
проявилась и в отсутствии стандарта на использование кодов прямой коррекиии ошибок 
ЕЕС (см. главу 7). Коды ЕЕС позволяют не только обнаруживать ошибки, но и исправлять 
их. Это свойство очень полезно при увеличении количества спектральных каналов в оп- 
тическом волокне сети О\УОМ. Действительно, в результате роста числа спектральных 
каналов происходит сближение спектров сигналов соседних волн, а значит, увеличивается 
взаимное влияние этих сигналов и, как следствие, возрастают искажения сигналов и по- 
являются битовые ошибки. В таких условиях появление эффективной процедуры ЕЕС, по- 
зволяющей «на лету» устранять значительную часть этих ошибок, так что этими ошибками 
можно пренебречь, позволяет увеличить количество спектральных каналов. В технологии 
ЗОН стандарт на использование кодов ЕЕС долгое время отсутствовал. Когда же стандарт 
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был, наконец, принят, оказалось, что он обладает недостаточной способностью снижать 
вероятность битовой ошибки. 


4. Необходимость централизованной синхронизации всей сети усложняет сети ЗОН. В то 
же время при передаче компьютерного трафика такая централизованная синхронизация 
вообще не нужна, достаточно обеспечить синхронизацию между передатчиком и прием- 
ником непосредственно соединенных портов. 


Учитывая эти и другие недостатки ЗОН, было решено оставить попытки улучшения 
«здания» 5ОН, построенного на устаревшем фундаменте, и создать новую технологию 
оптических транспортных сетей (Ориса| Тгапѕрогі Мебмогк, ОТМ№)!. 


Архитектура сетей ОТМ 


Хотя создание технологии ОТМ, как отмечено, началось с чистого листа, эта технология 
многое позаимствовала у технологии $ОН, в том числе: 


О иерархию скоростей с коэффициентом умножения 4 при переходе к более высокому 
уровню скорости; 


О побайтное ТОМ-мультиплексирование кадров более низкого уровня при их передаче 
в поле данных кадров более высокого уровня; 


0 четырехуровневую функциональную структуру; 


О типы оборудования: терминальный мультиплексор, мультиплексор ввода-вывода, 
коммутатор (кросс-коннектор), регенератор; 


топологии сети: линейная цепь без ввода-вывода в промежуточных точках, линейная 
цепь с вводом-выводом в промежуточных точках, кольцо, ячеистая топология. 


В то же время при реализации каждого из этих элементов архитектуры разработчики 
технологии ОТМ вносили изменения с учетом описанных выше недостатков технологии 
Юн и требований времени. 


Иерархия скоростей 


На начальных этапах развития технологии ОТМ в конце 90-х — начале 2000-х годов ее 
разработчики еще не осознавали всю важность компьютерного трафика для телеком- 
муникационных сетей. Сети ОТМ позиционировались прежде всего как магистральные 
высокоскоростные сети для объединения сетей ЗОН, а клиенты с интерфейсами Е(ћегпеї 
не принимались во внимание. Поэтому в начальных версиях стандартов ОТМ было опре- 
делено всего три уровня скорости, которым должны были удовлетворять потоки клиентов: 


О уровень 1 со скоростью пользовательских данных 2,488 Гбит/с ($ТМ-16); 
О уровень 2 со скоростью 9,953 (5ТМ-64); 
О уровень З со скоростью 39,813 ($ТМ-256, наивысшая скорость ЗОН). 


В дальнейшем такое недальновидное решение было исправлено и в перечень скоростей, 
допустимых для потоков данных клиентов, были добавлены скорости, соответствующие 
иерархии скоростей ЕйетеЕ, а также уровень «любая скорость» (табл. 9.1). 


і Архитектура сетей ОТМ описана в стандарте ІТО-Т С.872, а наиболее важные технические аспекты 
работы узла сети ОТМ — в стандарте С.709. 
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Таблица 9.1. Иерархия скоростей технологии ОТМ 


Клиентский кадр Битовая скорость Уровень скорости Битовая скорость 
клиента я ах К) кадров ОТМ И 


Ећетес По 


ТМ: или Ре ОС: | 9953 иж953 з и 10,709 


| Е№ете 1006 о 100С д јни [111809 | 
Егћегпеё, МРІ.$, Ете ЕСИ 

Сһаппеі 

Есегпеѓ 2006, 4006, пх 100 Сп! пх 105,258 

пх 1006 


Функциональные уровни ОТМ 


В технологии ОТМ определено четыре функциональных уровня. Рассмотрим три из них, 


поскольку функции фотонного уровня 5ОН нам уже известны — их выполняет технология 
ОМОМ. 


Уровень блока пользовательских данных оптического канала (Орїііса! Сһаппе! Рау|оаа 
Оті, ОРО) является самым верхним функциональным уровнем технологии ОТМ. Он 
ответственен за отображение пользовательских данных, то есть кадров ЗТМ $ОН или 
Ећегпеѓ, в блоки ОРО. Заголовок блока ОРО ОН (ОуегНеа4) содержит информацию 
о типе пользовательских данных, переносимых полем данных, а также информацию, по- 
зволяющую выровнять скорости пользовательских данных и блока ОТМ, передаваемого 
на выходной интерфейс оборудования ОТМ. 


М | 


| 


Уровень блока данных оптического канала (Ор@са| Сһаппе! аа пі, ОБО), хотя и яв- 
ляется более низким уровнем, так же, как и уровень ОРО, отвечает за передачу данных 
между конечными узлами сети ОТМ. Единицей данных на этом уровне является блок ОРО. 
Заголовок блока ООО ОН несет данные, необходимые для механизмов мониторинга и ад- 
министрирования соединения из конца в конец, например, данные о типе и местонахож- 
дении неисправности, о задержке сигналов, данные, необходимые для работы механизмов 
отказоустойчивости. В функции уровня ОРО входит также мультиплексирование и де- 
мультиплексирование блоков. В этом аспекте уровень Ор О ОТМ во многом аналогичен 
уровню мультиплексной секции 5ПН. 


Уровень транспортного блока оптического канала (Орйса| Сһаппе! Тгапзрог пі, ОТО) 
работает между двумя соседними узлами сети ОТМ, которые поддерживают функции 
электрической регенерации оптического сигнала. Уровень ОТО передает свою единицу 
данных — блок ОТО — на фотонный уровень, непосредственно в спектральный канал 
Р№рмМ. Основное назначение этого уровня — обнаружение и исправление ошибок с помо- 
щью кодов ЕЕС. Заголовок блока ОТО включает биты контроля поля данных по четности 
(они позволяют определить искажение битов, но не исправить их, как это делает код ЕЕС), 
бит индикации ошибки, обнаруженной контролем по четности, а также некоторую другую 


і Это обозначение для скоростей, кратных 100 (Сепёџгу) Гбит/с. 
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служебную информацию. Перед заголовком ОТО ОН помещены несколько байтов вырав- 
нивания, которые, во-первых, определяют начало кадра, а во-вторых, дополняют первую 
строку до нужного количества байтов. Уровень ОТП соответствует уровню регенераторной 
секции ОН. Блок ОТО представляет собой законченный кадр ОТМ, который передается 
по одному из спектральных каналов ОУ/ОМ. В дальнейшем мы будем использовать на- 
звания блок ОТО и кадр ОТК как синонимы. 


Уровни ОРО и ОРЧ работают с электрическими сигналами, получая их от уровня ОТО, 
который преобразует оптические сигналы ОМ/ОМ в электрические, а также выполняет 
обратное преобразование, то есть работает по схеме О-Е-О. Как и оборудование рН, 
оборудование ОТМ выполняет все операции над электрическими сигналами, используя 
оптические сигналы только для передачи данных между мультиплексорами. Кодирование 
оптических сигналов выполняет фотонный уровень. 


Формат кадра ОТМ 


Как и в технологии $ЮН, пользовательские данные, поступившие на входной порт муль- 
типлексора ОТМ, последовательно обрабатываются средствами разных уровней, начиная 
с самого высокого уровня ОРП (рис. 9.10, а). Каждый очередной уровень генерирует до- 
полнительную служебную информацию, которая добавляется к блоку пользовательских 
данных в виде заголовков, превращая его соответствующий данному уровню блок (модуль, 
кадр). 


Блок 
Данные 


пользо- 


пользовательских 
данных 


вателя 
| столбца Ш 3808 столбцов | 
| 


о0о[ Данные 4 [ОРО Поле данных 
Блок ОРО строки ОН пользователя 
| 14 столбцов 
! Поле данных 
3 ар 
Ф ороон 


Байты 


выравнивания “тс 


[] отоон] 
ОТО ОТО в ее данных Оти 
Блок ОТО | он Данные ОТО МА | ороон ОН 7) 3 | ее 


а 
4080 столбцов 
14 15 16 17 3824 3825 4080 
1 [Выравн.|_ 
4 строки т Ере саи Пользовательские данные | ОТО ЕЕС 
4 


в 


Рис. 9.10. Форматы кадра ОТМ 


Представление кадра ОТМ в виде матрицы вносит некоторую специфику в описание этого 
процесса, но не меняет его сущности. На рис. 9.10, 6 показано матричное представление 
блока данных пользователя, размещенного в поле данных блока ОРЦ, который обрастает 
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заголовками всех трех уровней ОРО ОН, ООО ОН, ОТО ОН и концевиком, содержащим 
код ЕЕС. 


Кадр ОТМ обычно представляют в виде матрицы, состоящей из 4080 столбцов-байтов и 4 
строк (рис. 9.10, в). Данные пользователя располагаются с 17 по 3824 столбец кадра и имеют 
длину 15 232 байта. Заголовок ОРО ОН занимает столбцы 15 и 16, азаголовок ОРО ОН — 
с 1 по 14 столбец во 2, Зи 4-й строках. Заголовок ОТО и байты выравнивания располагаются 
в первых 14 байтах первой строки. Последние 156 столбцов занимает концевик ЕЕС. 


Процедура прямой коррекиии ошибок ЕЕС в ОТМ основана на кодах Рида — Соломона, 
имеющих название К5 (255, 239). Два индекса в названии отражают тот факт, что данные 
в этом самокорректирующемся коде кодируются блоками по 255 байт, из которых 239 байт 
являются пользовательскими, а 16 байт представляют собой корректирующий код. Коды 
Рида — Соломона позволяют исправлять до 8 ошибочных байтов в блоке из 255 байт, что 
является очень хорошей характеристикой для самокорректирующего кода. Применение 
кода Рида — Соломона позволяет улучшить отношение мощности сигнала к мощности 
шума на 5 дБ при уменьшении уровня битовых ошибок с 10-3 (без применения ЕЕС) до 
10-12 (после применения ЕЕС). Этот эффект дает возможность увеличить расстояние меж- 
ду регенераторами сети на 20 км или же использовать менее мощные передатчики сигнала. 


В технологии ОТМ кадр всегда имеет фиксированный размер — даже в случаях, когда он 
является результатом мультиплексирования нескольких таких же кадров (о том, как такое 
может произойти, см. далее). Учитывая, что в сетях ОТМ, как ив РОН/ЗОН, данные могут 
передаваться по агрегатным каналам с разными скоростями, время передачи кадра ОТМ 
является переменным. Например, кадр ОТМ первого уровня скоростной иерархии пере- 
дается за 48 мкс, кадр второго уровня иерархии — за 12 мкс, а третьего — за 3 мкс. 


Эти два свойства — фиксированный размер кадра и переменное время передачи кадра — прин- 
ципиально отличают архитектуру ОТМ от архитектуры ЗОН, у которой размер кадра каждого по- 
следующего уровня ТМ в четыре раза больше размера кадра предыдущего уровня 5ТМ, а время 
передачи кадра по агрегатному каналу всегда равно точно 125 мкс. 


Пример-аналогия 


В городе М был объявлен тендер на разработку транспортной системы, разные участки ко- 
торой характеризуются разной интенсивностью пассажиропотоков. В тендере участвовали 
две компании: ЗОН и ОТМ. 5ОН предложила ввести регулярное расписание движения на 
всех линиях — строго каждые 12,5 минуты от каждой остановки отправляется автобус, а для 
учета различий в интенсивности потока пассажиров использовать на участках с малой интен- 
сивностью потока пассажиров мини-автобусы, а на направлениях с интенсивным движени- 
ем — большие двухэтажные автобусы. Другое решение предложила компания ОТМ: для всех 
перевозок используется один и тот же тип автобуса, но на более загруженных направлениях 
эти автобусы будут отправляться чаще. Как вы думаете, к какому выводу пришла комиссия? 


Уровень скорости, на котором используется тот или иной блок, индицируется как индекс А 
в названии блока, например, блоки первого уровня иерархии скоростей — ОР01, ОрО1, 
ОТО, блоки второго уровня — ОРО2, 0002, ОТО? ит. д. 


Скорости различаются и у блоков, относящихся к одному и тому же уровню иерархии 
скоростей, например ОРО1, ООЧ1, ОТОТ1. Действительно, после того как данные пользо- 
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вателя поступают в сеть, к ним последовательно добавляется дополнительная информация 
в виде заголовков ОРО ОН, ООО ОН и ОТО ОН, а также концевика ОТО ЕЕС. При 
каждом таком добавлении, чтобы сохранить неизменной скорость блока данных пользо- 
вателя, сеть должна передавать вновь образовавшийся блок быстрее. Отсюда следует, что 
скорости блоков данных разного типа — ОРО, ОРО и ОТО, которые принадлежат одному 
скоростному уровню, но имеют разный объем заголовков, отличаются. Например, для 
первого уровня иерархии скоростей (А = 1) ОРУ] равна 2,488 Гбит/с, ООО1 — 2,498 Гбит/с 
и ОТО - 2,666 Гбит/с. Каждый последующий тип блока имеет большее число заголовков, 
а значит, скорость его передачи растет. При этом скорость пользовательских данных, ото- 
браженных в эти блоки, должна оставаться неизменной. 


Отображение и выравнивание 
пользовательских данных 


Основной идеей разработчиков технологии ОТМ было обеспечение прозрачности пользо- 
вательских данных, которая проявляется в том, что независимо от того, какой тип данных — 
ОН, Еегпей или данные других протоколов компьютерных сетей — переносит кадр ОТМ, 
вся специфика его обработки должна сказываться только на уровне ОРЦ. На этом уровне 
данные пользователя должны отображаться в поле данных кадра ОТМ в соответствии 
с тем, к какому типу относятся данные пользователя и, если необходимо, выравниваться 
скорости пользовательских данных и кадра ОТМ. 


Несмотря на то что иерархия скоростей первого поколения стандартов ОТМ ориентиро- 
валась исключительно на скорости клиентских потоков ЗОН, разработчики ОТМ предпо- 
лагали, что клиентами сети будут как клиенты с оборудованием ЗОН, так и клиенты с обо- 
рудованием компьютерных сетей, представленным в основном интерфейсами Ећегпеї. 


Одним из вариантов переноса данных Еегпей через сеть ОТМ является вариант, требую- 
щий предварительной упаковки кадров Еегпе в кадры ЭТМ ЅРН. В этом случае никакой 
специфической процедуры обработки трафика Е\егпее не требуется. 


Однако разработчики технологии ОТМ хотели обеспечить возможность переноса кадров 
Ефегпе не только упакованными в кадры ТМ, но и непосредственно. Для этого необходимо 
было учесть специфику пользовательских данных, которые отличались не только скоростью, 
но и синхронностью — данные $ОН представляют собой непрерывный синхронный поток 
байтов, а данные компьютерных сетей разделены на пакеты, прибывающие асинхронно. 


В результате в технологии ОТМ имеется два типа процедур отображения пользовательских 
данных: 


О процедуры отображения синхронного трафика, которые применяются для трафика 
ЗОН, в том числе кадров ЕФегпе{, упакованных в кадры $ТМ, а также других син- 
хронных протоколов, например, протоколов сетей хранения данных Еге СБаппе! (они 
в данной книге не изучаются); 


О процедуры отображения асинхронного трафика компьютерных сетей. 


Отображение потоков ЗОН 


Первое обстоятельство, на которое нужно обратить внимание, — кадры ЗТМ-М по своим 
размерам превышают размер поля данных кадра ОТМ. Действительно, кадр 5ТМ-16 имеет 
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размер 16 х 9х 270 байт = 38 880 байт, в то время как поле данных кадра ОТМ имеет размер 
15 232 байта, то есть для переноса одного кадра ЗТМ-16 необходимо примерно 2,5 кадра ОТМ. 
Решение состоит в том, что данные кадров 5ТМ размещаются в поле данных кадра ОТМ 
сплошным потоком, без учета грании между кадрами ОТМ. При доставке кадров ОТМ до 
конечного мультиплексора данные пользовательских кадров 5ТМ также извлекаются сплош- 
ным потоком, предоставляя пользовательскому оборудованию самому разбирать этот поток 
на пользовательские кадры, используя для этого признаки начала кадра ЭТМ (рис. 9.11). 


Столбцы: 
1 15 16 17 3824 3825 4080 
| Выравн. и 
Кадр ОТМ 4 | ОТУРЕС 
о | 
4 Н | 
выраан | отион [6 тие 
ДС 
Ц 
Кадр ОТМ я ОТО РЕС 
О 
4 н 
! 
Ц 
Кадр ОТМ 3 ОТО РЕС 
о +----------- 
4 н 
о 
таве отон 1: а 
Ц 
Кадр ОТМ 3 5 ОТО РЕС 
4 н 


Рис. 9.11. Размещение кадров ТМ в полях данных кадров ОТМ 


На рисунке показаны четыре последовательных кадра ОТМ, в поле данных которых поме- 
щены данные кадров 5ТМ-16. Начало каждого кадра 5ТМ-16 никак не синхронизировано 
с началом поля данных ОРО кадра ОТМ. 


Иногда бывает полезно рассматривать последовательность кадров ОТМ как мультикадр. 
Мультикадр ОТМ состоит из 256 кадров. В заголовке ОТО ОН кадра имеется специальное 
однобайтовое поле МЕА5 (Ми!єі Егате Аіептепі 5ірпа1), позволяющее рассматривать 
каждый кадр как часть мультикадра. Поле МЕА$ работает как счетчик, принимающий 
значения от 0 до 255. Значение счетчика наращивается для каждого последующего кадра. 
Например, если у первого кадра ОТМ, показанного на рисунке, значение поля МЕАЅ равно 
15, то у второго оно равно 16, у третьего — 17 и у четвертого — 18. Все четыре кадра при- 
надлежат одному мультикадру, занимая в нем промежуточные места с 15-го по 18-е. 


Преимуществом объединения кадров является то, что у мультикадра некоторые поля 
заголовков кадра считаются общими, то есть рассматриваются как непрерывное поле, 
состоящее из № х 256 байт, где М — длина поля в заголовке отдельного кадра. Например, 
поле идентификатора пути ТТІ (Тгай Тгасе Іаепбіћег) из заголовка ОТО ОН содержит два 
идентификатора — идентификатор мультиплексора источника и идентификатор мульти- 
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плексора назначения. Каждый идентификатор состоит из 16 байт, то есть для его разме- 
щения необходимо 32 байта, но в заголовке ОТО ОН для поля ТТІ отведен только один 
байт. Проблема решается за счет того, что данные ТТІ размещаются в последовательных 
32 кадрах мультикадра, по одному байту в каждом кадре. 


Выравнивание потоков ЗОН 


Для помещения пользовательских данных (кадров 5ТМ-М№) в поля данных ОРО, а также 
для выравнивания их скоростей в стандарте ОТМ определены две процедуры: 


О ВМР (Віг-ѕупсһгопоиѕ Марріпе Ргосе4диге) — процедура бит-синхронного отображения 
нагрузки; 


О АМР (Аѕупсһгопоцѕ Марріпе Ргосейше, АМР) — процедура асинхронного отображения 
нагрузки. 


Процедура ВМР синхронизирует прием байтов из пользовательского потока, используя 
синхробайты из заголовка кадра ЗТМ-М. В этом случае механизм выравнивания фактиче- 
ски простаивает, так как скорость передачи данных всегда равна скорости их поступления. 


Процедура АМР используется, если мультиплексор ОТМ синхронизируется от собствен- 
ного источника синхроимпульсов, который не зависит от пользовательских данных (это 
может быть любой из способов синхронизации, рассмотренных в разделе, посвященном 
технологии РОН). В этом случае рассогласование скоростей неизбежно и необходим меха- 
низм выравнивания. Механизм выравнивания АМР подобен механизму положительного 
и отрицательного выравнивания $0Н, но без использования указателя на начало пользова- 
тельского кадра. Указатель для процедуры АМР не нужен, потому что мультиплексор ОТМ 
игнорирует внутреннюю структуру пользовательских данных, не занимается выделением 
из потока пользовательских байтов кадров ЗТМ-М и коммутацией контейнеров разного 
уровня, содержащихся в этих кадрах, — это дело вышележащего уровня, реализованного 
в клиентском оборудовании ЗОН, которое подключено к портам сети ОТМ. 


Для выравнивания скоростей в кадре ОТМ используются два байта (см. рис. 9.11): байт 
возможности отрицательного выравнивания М] О (Медайуе ]изийсаИоп Оррогѓипібу), нахо- 
дящийся в заголовке ОРО ОН, а также байт возможности положительного выравнивания 
РУО (Розшхе ]и5ИЙйсайоп Оррогѓипісу), размещенный в поле пользовательских данных, 
сразу после байта М]О. 


Говоря о выравнивании скоростей, можно заметить, что существует только три возможных 
варианта: 


О скорость пользовательских данных и скорость мультиплексора! равны; в этом случае 
скорость выравнивать не нужно, мультиплексор помещает все пользовательские байты 
в поле данных, используя в том числе байт Р]О. Байт М]О остается пустым байтом 
выравнивания; 


Ц скорость пользовательского потока выше скорости мультиплексора; лишний байт 
пользовательских данных помещается в поле М] О — то есть происходит отрицательное 
выравнивание. В этом случае в оба байта, М]О и Р]О, загружены данные; 


Ч скорость пользовательского потока меньше скорости мультиплексора, и ему не хватает 
байтов для заполнения поля данных. В этом случае в байт РЈО вставляется «запол- 


1 Под скоростью мультиплексора здесь понимается скорость передачи блока ОРЦ. 
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нитель», который представляет собой байт с нулевым значением, — так выполняется 
положительное выравнивание. Таким образом, в данном случае оба байта, М] О и Р]О, 
оказываются пустыми. 


Заголовок ЈОН 


, 
Столбцы 415 16 / Байт управления 

выравниванием 
12345678 


е | | 
Г 1ке 


Заголовок ОРО ОН Байт поля данных ОРО 


Рис. 9.12. Заголовок выравнивания ЈОН и байты выравнивания М.О и РЈО 


Чтобы конечный мультиплексор сети мог правильно выполнить демультиплексирование 
пользовательских данных, ему нужна информация о том, как обстояло дело с выравнива- 
нием, были ли заполнены байты М] О и Р]О данными или они находятся в своем исходном 
нулевом состоянии. Такую информацию мультиплексор извлекает из специально предна- 
значенного для этих целей байта управления выравниванием (Јиѕііћсайоп СопігоіІ, ЈС). 


На рис. 9.12 показано, что в 16-м столбце заголовка ОРО ОН, называющемся заголовком 
выравнивания (15 ИЙсайоп ОуегНеаа, ЈОН), находится три копии байта ЈС. Это повышает 
надежность — в случае искажения битов одной из копий мультиплексор может голосова- 
нием решить, какая копия является корректной. В байте управления выравниванием ЈС 
используется только два младших бита. Из четырех возможных значений, которые могут 
принимать эти два бита, используется три: 00, 01 и 11, каждая комбинация кодирует один 
из трех возможных вариантов соотношения скоростей, которые были рассмотрены выше. 
В таблице на рис. 9.12 символ ] означает, что соответствующий байт выравнивания не 
содержит данных, а символ О — содержит. Легко видеть, что значение 00 соответствует 
случаю, когда скорости были равны, 01 — когда скорость пользовательских данных опере- 
жала скорость мультиплексора, 11 — скорость мультиплексора превысила скорость данных. 


Отображение и выравнивание компьютерного трафика 


Компьютерный трафик имеет, как мы знаем, пульсирующий характер, хотя данные внутри 
каждого кадра (например, кадра Ећегпеѓ) поступают с постоянной битовой скоростью, из- 
за случайных пауз между кадрами средняя скорость поступления данных в мультиплексор 
ОТМ может колебаться в больших пределах, от нуля на некоторых периодах (периоды 
молчания) до битовой скорости протокола на других. 


Для выравнивания такой неравномерности процедура отображения компьютерных данных 
вставляет в периоды молчания пустые компьютерные кадры — кадры, состоящие только 
из заголовка, в котором указывается нулевая длина поля данных. 


Для того чтобы эта процедура была прозрачной, то есть не зависела от протокола компью- 
терной сети, исходный компьютерный кадр упаковывается в кадр формата обобщенной про- 
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цедуры инкапсуляции данных СЕР (Сепегіс Егатіпе Ргоседиге), специально разработанного 
ІТО-Т для единообразного обрамления пользовательских кадров любого формата. Так, 
если данные поступают в виде кадров Еёћегпеї, то перед размещением их в поле данных 
к ним добавляют заголовок СЕР 


Заголовок СЕР состоит из четырех байтов, два из которых отводятся для хранения длины 
его поля данных (ноль, если это пустой кадр, и длина инкапсулированного кадра в про- 
тивном случае), аеще два — для контрольной суммы поля данных. 


Процедура СЕР поддерживает два режима работы: СЕР-Е (кадровый режим, или Егате 
Моде) и СЕР-Т (прозрачный режим, или Тгапзрагеп Моде). Режим СЕР-Е предназначен 
для инкапсуляции компьютерных кадров, а режим СЕР-Т — для инкапсуляции данных 
синхронного чувствительного к задержкам трафика, отличного от ЗОН, например, про- 
токола сетей хранения данных Е ге Сһаппе!. Особенностью режима СЕР-Т является то, 
что исходный синхронный поток байтов разбивается на блоки равной длины и к ним до- 
бавляется заголовок, который позволяет распознать начало блока и корректность данных 
в нем по контрольной сумме блока. Заголовки кадров режимов СЕР-Е и СЕР-Т имеют 
одинаковый формат. 


Столбцы: 
1 15 16 т 3824 3825 4080 
Р —— аса 
2 № а: Е МЫ 
Кадр ОТМ ” 1 .  ` ОТО РЕС 


О 
Н 


— кадр СЕР 


— пустой кадр СЕР 


Рис. 9.13. Размещение кадров $ТМ в полях данных кадров ОТМ 


Итак, пусть на входной порт мультиплексора ОТМ поступает очередной кадр компьютер- 
ной сети. Перед передачей его в составе данных поля ОРО в сеть он полностью буфери- 
зуется, так как асинхронный характер компьютерного трафика это позволяет; для него 
вычисляется контрольная сумма, добавляется заголовок СЕР. Упакованный таким образом 
компьютерный кадр размещается в поле данных кадра ОТМ (рис. 9.13) и побайтно пере- 
дается на выходной порт мультиплексора ОТМ. Если к моменту окончания передачи всех 
байтов этого компьютерного кадра следующий кадр компьютерной сети еще не поступил 
в буфер, то в поле данных кадра ОТМ помещается пустой кадр СЕР, то есть четырехбайт- 
ный заголовок с указанием нулевой длины поля данных. Тем самым выравниваются ско- 
рости поступления пользовательских данных и передачи кадра ОТМ. 


Мультиплексирование блоков ОТМ 


Как и во всех других технологиях, мультиплексирование в ОТМ используется для эффек- 
тивной передачи по высокоскоростной магистрали многих пользовательских потоков, 
имеющих более низкую скорость. 
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В ОТМ данные нескольких блоков ОР некоторого уровня скорости мультиплексируются 
в поле данных ОРЧ более высокого уровня скорости, причем не обязательно следующего. 
Это означает, что блоки ОО О1 могут мультиплексироваться как в блоки второго уровня 
ОРО2, так и в блоки третьего уровня ОРОЗ. 


Принцип мультиплексирования 


Рассмотрим технику мультиплексирования ОТМ на примере мультиплексирования че- 
тырех блоков ООО] в один блок ОТО2. Чтобы скорость данных блока низшего уровня 
осталась прежней в том случае, когда они переносятся по сети в блоках более высокого 
уровня, кратность мультиплексирования должна соответствовать кратности скоростей 
уровней. Так как скорость ОЮ 02 в 4 раза выше скорости ОР Оі, то и кратность мульти- 
плексирования Ор О1 в Ор 02 должна быть равна 4. 


5 ото он | 
орот | 0 Пользовательские данные | 
ороон (о 
| ІН 
Г е) 
Выр. | ОТООН р 
0002 | |у 
ороон О Пользовательские данные 
Н 


| Выр. |. ОТУ ОН 


ороон 


ОТу2 


Рис. 9.14. Последовательность вложений блоков при мультиплексировании ОВИ1 в 0002 


На рис. 9.14 показано, что каждый из четырех блоков ОЮ 01 мультиплексируется в поле 
данных ОЮ 02, который после добавления концевика ЕЕС превращается в блок ОТО2. На 
рисунке этапы мультиплексирования блоков ОЮ О1 показаны очень упрощенно, многие 
детали опущены, например, то, что для помещения четырех блоков ОЮ в поле данных 
Ору02 нужен не один, а четыре последовательных кадра Ор 02. 


Для упорядоченного размещения блоков ОЮ 01 в поле ОРО2 это поле разбивается на так 
называемые трибутарные слоты (ТгЬщагу 510, Т5). Каждый трибутарный слот содержит 
данные одного из мультиплексированных блоков. 


На рис. 9.15 поле данных блока ОРТ? разделено на четыре трибутарных слота — Ти $01, 
Тгір$1о2, ТгіБ5]о3 и ТгіЬ510#4. Данные трибутарных слотов побайтно мультиплексирова- 
ны, так что байты трибутарного слота 1 занимают позиции 17, 21, 25, ...; данные трибутар- 
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ного слота 2 — позиции 18, 22, 26... ит. д. Таким образом, можно сказать, что трибутарный 
слот занимает несколько столбцов в матрице кадра Ор 02, при этом столбцы разных 
трибутарных слотов чередуются. 
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Рис. 9.15. Мультиплексирование блоков ООЦ1 в блок 0002 


Поскольку каждый блок ОЮ 01 при мультиплексировании в блок Ор 02 получает только 
четверть из полного размера поля данных Ор 02, скорость передачи информации блока 
ОПТ] в четыре раза ниже скорости передачи информации блока Ор 02, как того и требует 
иерархия скоростей ОТМ. 


Главной характеристикой трибутарного слота является его скорость. Трибутарные слоты 
одной скорости могут иметь разный размер в байтах в зависимости от того, в блок какого 
уровня они вложены. Так, в блоке Ор 02, разделенном на 4 трибутарных слота, размер 
каждого слота скорости 2,5 Гбит/с равен 3808 байт, а в блоке ОЮ ОЗ, разделенном на 
16 слотов, размер слота этой же скорости 2,5 Гбит/с уже в 4 раза меньше — всего 952 байта. 


За счет выделения пользовательскому потоку различного числа трибутарных слотов можно 
обеспечить передачу данных разных потоков с разной скоростью. Так, если потоку выделено 
3 трибутарных слота 2,5 Гбит/с, то он будет переноситься со скоростью 7,5 Гбит/с. 


Мультиплексирование блоков ОЮ 01 или Ор 02 в поле данных блока ОЮ ОЗ происходит 
аналогичным образом. В 16 тайм-слотов может быть помещены данные 16 блоков Ор 01, 
или 4 блока Ор 02, или их любая комбинация. 


Это свойство выгодным образом отличает способ мультиплексирования ОТМ от способов муль- 
типлексирования ЗОН, в котором разрешено мультиплексировать блоки только одного типа. 


Описание мультиплексной структуры 


Для того чтобы принимающий мультиплексор ОТМ мог понять, какие трибутарные слоты 
ОРОК выделены для соответствующих блоков ООП более низкого уровня, в заголовке 
ОРОК ОН имеется поле индикатора структуры данных (Рау|оа4 Згисвиге Іпісаќог, РУП. 
Рассмотрим, каким образом этот индикатор описывает выделение трибутарных слотов на 
примере блока ОЮ ОЗ, в слотах которого содержатся как блоки ОП О, таки ОРО2. 


Индикатор РІ может иметь длину 1 байт или 256 байт. Первый байт индикатора РІ 
называется полем типа нагрузки РТ (РауІоаа Туре) и находится в 15-м байте 4-й строки 
кадра. По значению этого поля можно установить, находятся в поле данных блока ОРО 
данные пользователя или же мультиплексированные кадры ОРО. 
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Если значение РТ равно коду, зарезервированному для пользовательских данных опреде- 
ленного типа (например, данных ЗОН или Е егпей), то это значит, что в поле данных нет 
мультиплексированных кадров, поле данных ОРЧ не разделено на трибутарные слоты и у 
него нет мультиплексной структуры. В этом случае РТ является единственным байтом 
индикатора РЗ]. 


Если же значение поля РТ равно коду, зарезервированному для мультиплексированной на- 
грузки, то анализируются остальные 255 байт индикатора РЗ. Эти байты также находятся 
в 15-м байте 4-й строки кадра, но они распределены по последовательным заголовкам ка- 
дров, входящих в мультикадр, то есть здесь использован прием расширения поля заголовка 
за счет объединения кадров в мультикадр. 


Байты индикатора Р5І1 последовательно описывают назначение каждого последующего 
трибутарного слота, так что позиция байта однозначно соответствует номеру трибутарного 
слота. Каждый байт-описатель трибутарного слота состоит из двух элементов. Первый 
показывает, блоку какого уровня принадлежит слот — ОЮ О1 или Ор О2 для нашего при- 
мера. Второй элемент содержит номер трибутарного порта (не путать с трибутарным 
слотом) мультиплексора, которому принадлежат эти данные. Таким образом, каждый 
байт-описатель индикатора Р$] задает соответствие между номером трибутарного слота, 
уровнем блока ОРО, помещенного в трибутарный слот, и номером трибутарного порта, 
от которого получен блок ООП. 


Такая схема мультиплексирования является очень гибкой. Действительно, каждый трибу- 
тарный слот может быть назначен любому блоку ОР любого более низкого уровня, полу- 
ченного от любого трибутарного порта. Информация о структуре мультиплексированных 
данных, содержащаяся в индикаторе РІ, используется оборудованием ОТМ как для де- 
мультиплексирования, так и для коммутации пользовательских данных, так как они точно 
указывают, в каком трибутарном слоте находятся данные определенного пользователя. 


Общая схема мультиплексирования 


Мы рассмотрели принципы мультиплексирования технологии ОТМ на примере трех 
уровней скоростей. Эти принципы остаются неизменными и при мультиплексировании 
других уровней скоростей, которые постепенно добавлялись к трем начальным уровням, 
ОРО1 — 0002 — Ор0О3. Общая схема мультиплексирования технологии ОТМ, отража- 
ющая все стандартизованные на сегодня уровни скорости как клиентов, так и кадров ОТМ, 
показана на рис. 9.16. 


Возможности мультиплексирования некоторого блока ОЮ ОК (или блока ОР ОЕ]Іех) на 
схеме условно показаны пунктирными стрелками двух типов: 


О стрелки, которые выходят из блока ОРОК, показывают, в блоки каких типов ОБО т 
этот блок ОРОК может быть мультиплексирован; 


О стрелки, входящие в блок ОРОт, показывают, какие типы блоков ОРОК могут быть 
мультиплексированы в данный блок ОРОт. 


Блоки ОТОК помещаются в спектральные каналы О\/ОМ, обозначенные на рисунке как 
ОСҺ1...ОСћһп. 


Схема отражает следующие изменения в первоначальном варианте иерархии скоростей: 


О Для более эффективного мультиплексирования данных 1С ИйетеЕ был определен фор- 
мат ОРОО с битовой скоростью 1,25 Гбит/с. До введения этого формата всегда нужно 
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Рис. 9.16. Схема мультиплексирования технологии ОТМ 


было объединять два потока Еіћегпеї 1С и упаковывать их в кадры Ор 01, что лишало 
операторов сети ОТМ необходимой гибкости. 


О Появление стандарта 100С Ейете вызвало стандартизацию нового, 4-го уровня ско- 
рости ОТМ с форматом кадра ОРИ4 и битовой скоростью кадра ОТОА 111,8 Гбит/с, 
достаточной для переноса кадров Ейетее скорости 100 Гбит/с. Этот уровень скорости 
потребовал применения более сложных методов кодирования, так как простое кодиро- 
вание ООК/МКА, применяемое в ЮН, имеет слишком широкий спектр сигнала для 
наиболее применяемого на практике частотного плана О\/ОМ с шагом 50 ГГц. Основ- 
ным кодом для скорости 100 Гбит/с стал код РМ-ОРЅК (Роапгайоп Мшарехтя — 
поляризационное мультиплексирование, Оцагафиге Рћаѕе $ Кеуіпе — квадратурная 
фазовая манипуляция). В каждом такте кода РМ-ОРЅК передается 4 бита дискретной 
информации. Ширина спектра такого сигнала позволяет передавать его в сетке 50 ГГц. 
Для надежного распознавания сигнала 100 Гбит/с в приемниках стали применяться 
цифровые сигнальные процессоры, которые программным путем распознают сигналы 
кода РМ-ОРЬЗК на фоне помех, а также могут компенсировать линейные искажения 
сигналов из-за хроматической дисперсии. 


О Для кадров скоростей 200 и 400 Гбит/с, стандартизованных для Ейете в 2017 году, 
введен формат кадра ОРОСп, с помощью которого можно переносить данные кадров 
Е Бегпе любой скорости, кратной 100 Гбит/с. Кадры ОР ОСп оперируют только 
трибутарными слотами скорости 5 Гбит/с. Для передачи данных со скоростями свы- 
ше 100 Гбит/с применяются два подхода. Первый подход основан на использовании 
более мощных методов кодирования светового сигнала — например, поляризацион- 
ного мультиплексирования с квадратурной амплитудной модуляцией РМ-160АМ! 


1 Модуляция ОАМ рассмотрена в главе 7. 
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(256 состояний сигнала) и РМ-320АМ (1024 состояния сигнала). Эти коды позволяют 
сузить спектр сигнала, но тем не менее даже при таких методах кодирования скорость 
200 Гбит/с оказывается предельной для шага частотного плана в 50 ГГц, в связи с чем 
для скоростей 400 Гбит/с и выше приходится пользоваться более широким шагом, 
предлагаемым гибким частотным планом О\/ОМ, например шагом 62,5 ГГц. Второй 
подход основан на идее суперканалов, когда для переноса данных используется не- 
сколько соседних волн частотного плана О\/ОМ. 


О Введен формат кадра ОРИ?е с битовой скоростью для передачи кадров 10С Ейете 
локальных сетей. Необходимость в этой «чуть-чуть» увеличенной скорости Ор 02 
возникла из-за того, что существуют две версии стандарта Е(ћегпеѓ для скорости 
10 Гбит/с — для локальных сетей и глобальных сетей. Версия Еёћегпеѓ 10С для гло- 
бальных сетей была разработана специально для передачи ее кадров в кадрах ЗТМ-64 
и поэтому имеет битовую скорость 9,953 Гбит/с. Локальная версия Е(ћегпеѓ 10С пере- 
дает данные с битовой скоростью 10 Гбит/с, поэтому в кадрах Ор 02 передаваться не 
может. Локальная и глобальная версии Ећегпеѓ несовместимы из-за разницы в битовой 
скорости, поэтому соединение локальных сетей с помощью сети ОТМ являлось про- 
блемой. Для ее решения и был введен формат кадра Ор 02е. Для блока ООО?е нет 
соответствующего блока ОТОЗе -- он передается в блоках ОР О3, чтобы не создать на 
магистрали сети две близкие скорости — ОТО2 и ОТО2е. 


Ц Для трафика со скоростью, значительно отличающейся от скоростей из иерархии ОТМ, 
введен формат кадра ОРНех. Данные помещаются в блок ОРОЕх с той скоростью, 
с которой они поступают, а затем с помощью новой процедуры отображения СМР 
(Сепетіс Марртх Ргосейит) отображаются в трибутарные слоты одного из блоков ОО 
верхнего порядка. Процедура СМР является усовершенствованным вариантом АМР 
и использует не один, а произвольное количество байтов в поле данных кадра ОТМ 
в качестве заполнителей, когда скорости пользовательских данных не хватает для за- 
полнения всех байтов поля данных кадра ОТМ. 


Организация сетей ОТМ 


Сети ОТМ первого поколения имели достаточно простую архитектуру. Они строились на 
основе транспондеров ОУУШОМ, которые, наряду с операцией преобразования длин волн, 
выполняли и операцию отображения пользовательских данных в кадры ОТМ, а также моду- 
лирование цветной волны О\УУОМ в соответствии с требуемой скоростью. В первых сетях 
ОТМ (рис. 9.17) не выполнялись ни мультиплексирование, ни коммутация — каждая волна 
О\М/ОЮМ переносила данные только одного пользователя. В этой связи технология ОТМ 
получила название «цифровой оболочки» ОУУОМ, поскольку выполняла только функцию 
передачи цифровой информации — функцию, которую аналоговая технология О\УОМ вы- 
полнять не способна. Коммутация пользователей происходила в оборудовании ЗОН или 
в маршрутизаторах компьютерных сетей, а сеть ОТМ предоставляла этим пользователям 
только каналы «точка — точка». 


Следующим этапом стало наделение блока транспондеров ОТМ/О\У/ОМ функцией 
мультиплексирования. Появились так называемые макспондеры (тихроп4ег), способные 
объединить несколько пользовательских портов скорости Ор 01 или Ор 02 в один более 
скоростной выходной порт формата ОТО З, а затем выполнить модуляцию одной из цвет- 
ных волн частотного плана ОҰҮРЮМ (рис. 9.18). 
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Рис. 9.18. Сеть ОТМ/ОМ/ОМ с макспондерами 


Модуль транспондеров включал мультиплексор ОТМ и транспондер О\УУОМ. Сеть ОТМ/ 
Р\УрмМ, построенная с использованием макспондеров, намного более экономно расходова- 
ла волны магистрального канала О\/УОМ. Такой вариант сети позволял реализовать схему 
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«оператор операторов», в соответствии с которой сеть телекоммуникационного оператора 
более высокого уровня служит магистралью сетей операторов нижних уровней. Тем не 
менее сервис ОТМ по-прежнему представлял собой набор каналов «точка — точка» — ком- 
мутация пользователей ОТМ средствами ОТМ не выполнялась. 


И только примерно с середины 2010-х годов начало появляться оборудование ОТМ№, вы- 
полняющее функции кросс-коннектора, то есть позволяющее коммутировать данные 
пользователей как между трибутарными, так и агрегатными портами. 


На рис. 9.19 показана такая сеть с пользователями, представленными оборудованием 
компьютерных сетей и сетей $ОН. Здесь кросс-коннекторы ОТМ соединены друг с другом 
с помощью спектральных каналов, образованных мультиплексорами КОАОМ ОМОМ. 
Главное достоинство такой сети — в том, что в ней возможны транзитные соединения 
между любыми пользователями сети ОТМ, а не только между теми, мультиплексоры ОТМ 
которых непосредственно соединены спектральным каналом О\/ОМ (одно из таких со- 
единений показано на рисунке пунктирной линией). 
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Рис. 9.19. Коммутируемая сеть ОТМ/ОМОМ 
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12; 


13. 


Может ли линия связи быть составным каналом? 


Укажите, к какому типу линий связи относятся волоконно-оптические кабели: 
а) ненаправленные проводные; 

б) направленные проводные; 

в) направленные кабельные. 

Чем отличаются усилители и регенераторы телекоммуникационных сетей? 
Сетевой адаптер является устройством: 

а) ОСЕ; 

б) ОТЕ; 

в) ОСЕ и ОТЕ одновременно. 

Какова частота электромагнитных колебаний волны длиной 1550 нм? 

Можно ли выполнить преобразование Фурье для непериодической функции? 
Какие меры можно предпринять для увеличения информационной скорости звена 
(выберите вариант ответа): 

а) уменьшить длину кабеля; 

б) выбрать кабель с меньшим сопротивлением; 

в) выбрать кабель с более широкой полосой пропускания; 

г) применить метод кодирования с более узким спектром. 


Поясните, почему полезно знать амплитудно-частотную характеристику линии (вы- 
берите вариант ответа): 


а) она позволяет узнать затухание сигнала определенной амплитуды и любой частоты; 
б) она позволяет узнать искажения сигнала определенной формы. 

Дайте определение порога чувствительности приемника. 

Проверьте, достаточна ли для устойчивой передачи данных мощность передатчика 


в 40 дБм, если длина кабеля равна 70 км, погонное затухание кабеля — 0,5 дБ/км, 
а порог чувствительности приемника составляет 20 дБм. 


Что является причиной перекрестных наводок на ближнем конце кабеля? 


Какой кабель более качественно передает сигналы — с большим значением параметра 
МЕХТ или с меньшим? 


Какой тип кабеля предназначен для передачи данных на большие расстояния (вы- 
берите вариант ответа): 

а) многомодовый; 

6) одномодовый; 

в) витая пара. 
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14. 


15. 


16. 


17. 
18. 


19. 
20. 


21. 


2А 
23. 


24. 


29, 


26. 


21. 


28. 


Каким будет теоретический предел скорости передачи данных в битах в секунду по 
линии связи с шириной полосы пропускания 100 мГц, если мощность передатчика 
составляет 10 дБм, а мощность шума в линии связи равна 2 дБм? 

Можно ли кодировать дискретную информацию аналоговыми сигналами? 

Какой будет скорость передачи данных на линии, если частота изменения сигнала 
равна 100 бод, а сигнал имеет 16 состояний? 

Несут ли информацию импульсы на тактовой шине компьютера? 

Регенерацией оптического сигнала называется (выберите вариант ответа): 

а) усиление сигнала одним из типов оптических усилителей; 

б) восстановление формы сигнала за счет преобразования в электрическую форму; 


в) восстановление формы сигнала за счет преобразования в электрическую форму 
и обратно. 


Сколько бит за один такт передается при кодировании 64-ОАМ? 

Поясните, из каких соображений выбрана частота дискретизации 8 кГц в методе 
квантования РСМ. 

Спектр какого сигнала уже при одной и той же тактовой частоте передатчика (вы- 
берите вариант ответа): 

а) потенциального кода; 

6) амплитудной модуляции. 

Чем логическое кодирование отличается от физического? 


Укажите, каким образом можно повысить скорость передачи данных по кабельной 
линии связи: 


а) уменьшить спектр сигнала за счет применения более совершенного метода коди- 
рования/модуляции и повысить тактовую частоту сигнала; 

6) увеличить число символов кода и сохранить ту же тактовую частоту сигнала. 

Укажите, какими способами можно улучшить свойство самосинхронизации кода МВ. 1: 


а) использовать логическое кодирование, исключающее появление длинных после- 
довательностей единиц; 


6) скремблировать данные; 


в) использовать логическое кодирование, исключающее появление длинных после- 
довательностей нулей. 


Какой режим временного мультиплексирования используется в сетях с коммутацией 
пакетов? 


Найдите первые две гармоники спектра МК /-сигнала при передаче последователь- 
ности 110011001100... если тактовая частота передатчика равна 100 МГц. 


Во сколько раз увеличится ширина спектра кода МК/. при увеличении тактовой ча- 
стоты передатчика в 3 раза? 

Укажите, какими из следующих характеристик обладают первичные сети: 

а) поддерживают технику коммутации каналов; 

6) мультиплексируют данные на основании техники асинхронного ТОМ; 

в) предоставляют услуги канала «точка — точка». 
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29. Цифровой кросс-коннектор первичной сети отличается от мультиплексора ввода-вы- 


30. 


31. 


32: 


33. 


34. 


35. 


36. 
37. 
38. 


39. 
40. 
41. 
42. 


вода тем, что он (выберите вариант ответа): 
а) имеет более чем два магистральных порта; 
б) коммутирует данные в цифровом формате; 


в) может выполнять коммутацию любых подканалов магистральных каналов с кана- 
лами пользователей. 


Если при планировании первичной сети количество пользователей и интенсивности 
генерируемых ими потоков данных были оценены неверно, то (выберите вариант от- 
вета): 


а) это приведет к длительным задержкам передачи пользовательских данных; 
б) к невозможности обслуживания некоторого количества пользователей. 


Кадрирование информации в первичной сети преследует цель (выберите вариант 
ответа): 


а) локализации и исправления ошибок; 

б) мониторинга качества работы сети; 

в) передачи пульсирующего трафика. 

Мультикадры в первичных сетях используются для (выберите вариант ответа): 

а) передачи длинных полей данных компьютерных пакетов; 

6) распределения длинных полей заголовка кадра между несколькими кадрами; 

в) компрессии заголовка кадра. 

Укажите, какие варианты организации услуг первичной сети являются реализуемыми: 
а) РОН/О\ОМ; 

б) ОТМ/р\Урм; 

в) 5рН/РРН. 

Сколько каналов Т-1 может мультиплексировать кадр 5ТМ-1, если в нем уже муль- 
типлексировано 18 каналов Е-1? 

Регенераторная $ОН выполняет следующие функции (выберите вариант ответа): 

а) отвечает за передачу данных между конечными пользователями; 

6) выполняет ввод-вывод пользовательских данных; 

в) выполняет тестирование и администрирование секции. 

Почему кольцо является одной из самых популярных топологий сети ЗОН? 
Согласуются ли иерархии скоростей Ефегпеё и 50 Н? 


Каким будет порядковый номер второго байта третьего кадра 5ТМ-1 при мультиплек- 
сировании его в кадр 5ТМ-4? 


По какой причине в кадре 5ТМ-1 используется три указателя? 
С какой целью в технологиях РОН и $ОН используется чередование байтов? 
В чем отличие схем защиты 1+1 и 1:1? 


Поясните, чем тонкое выравнивание скоростей ЗОН отличается от грубого выравни- 
вания: 


а) точностью; 
б) тонкое выравнивание согласует фактические скорости, а грубое — номинальные; 
в) тонкое выравнивание согласует номинальные скорости, а грубое — фактические. 
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43. 


44. 


45. 


46. 
47. 


48. 
49. 


50. 


51. 


92. 


93. 


54. 


99. 


Адреса какого типа используются в таблицах коммутации ЅЮН: 

а) МАС-адреса; 

б) составные: номер порта и номера виртуальных контейнеров в каждом уровне ие- 
рархии; 

в) условные плоские идентификаторы. 


Технология О\/ЮМ повысила скорости магистралей первичных сетей за счет (вы- 
берите вариант ответа): 


а) использования других окон прозрачности; 
6) применения новых схем кодирования; 
в) параллельной передачи данных по нескольким волнам. 


Для выделения отдельной волны из неокрашенного сигнала можно использовать 
следующие световые эффекты: 


а) дифракцию; 

6) дисперсию; 

в) интерференцию. 

Назовите преимущества гибкого частотного плана ОУУОМ. 

Транспондер преобразует длину волны, используя (выберите вариант ответа): 

а) эффект интерференции; 

6) эффект дисперсии; 

в) преобразование О-Е-О. 

Почему волноводы дифракционной решетки имеют разную длину? 

Может ли мультиплексор ввода-вывода ввести в магистраль волну длины М, если он 
ее вывел? 

Главной особенностью устройств КОАШМ является (выберите вариант ответа): 

а) наличие блоков \/55; 

6) поддержка удаленной программной реконфигурации. 

Технология ОТМ унаследовала от технологии ЗОН (выберите вариант ответа): 

а) иерархию скоростей с коэффициентом 4; 

б) технику виртуальных контейнеров; 

в) побайтное мультиплексирование. 

Приведите аргументы за и против двух подходов к перевозке пассажиров в примере- 
аналогии. 


Каким образом кадры ОТМ размером в 15 232 байта переносят кадры ЭТМ-16 раз- 
мером в 38 880 байт? 

Трибутарный слот ОТМ имеет (выберите вариант ответа): 

а) фиксированную скорость; 

6) фиксированный объем; 

в) переменный объем. 

Макспондер ОТМ выполняет функции (выберите вариант ответа): 

а) КОАШМ; 

6) терминального мультиплексора; 

в) транспондера. 
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56. Укажите, какие из приведенных ниже утверждений верны при любых условиях: 


а) 


6) 
в) 
г) 


в сетях с коммутацией каналов необходимо предварительно устанавливать соеди- 
нение, 


в сетях с коммутацией каналов не требуется указывать адрес назначения данных; 
сеть с коммутацией пакетов более эффективна, чем сеть с коммутацией каналов; 


сеть с коммутацией каналов предоставляет взаимодействующим абонентам гаран- 
тированную пропускную способность; 

данные, поступившие в составной канал, доставляются вызываемому абоненту без 
задержек и потерь; 

составной канал постоянно закрепляется за двумя абонентами; 


составной канал имеет постоянную и фиксированную пропускную способность на 
всем своем протяжении. 


Часть 11! 


Технология Еїһегпеї 


О Глава 10. Епегпе{ в локальных сетях 
О Глава 11. Отказоустойчивые и виртуальные локальные сети 


О Глава 12. Еіћегпеї операторского класса 


Технология Ећегпеї является сегодня монополистом — сначала она вытеснила все остальные техноло- 
гии канального уровня из локальных сетей, а затем сделала то же самое и в области глобальных сетей. 
Трудно сказать, почему именно это произошло — то ли по причине простоты технологии, а значит, 
и низкой стоимости оборудования и его эксплуатации, то ли из-за удачного названия, то ли вслед- 
ствие необыкновенного везения, полагает изобретатель Ећегпеї Роберт Меткалф (Вобегї Меїсаіғе), 
состоявшего в том, что «каждый раз, когда появлялось что-то на замену Ећегпеї, люди, ответственные 
за продвижение новой технологии, снова выбирали для нее название Ећегпеї». Но факт остается фак- 
том — как в локальных, так и в глобальных сетях под уровнем ІР работает технология Ећегпеї. 


Технология Ећегпеї прошла большой путь. Долгое время, примерно до середины 2000-х годов, она 
применялась исключительно в локальных сетях. Практически во всех технологиях 80-х, включая 
Еіһегпеї, использовалась разделяемая среда — как удобное и экономичное средство объединения 
компьютеров на физическом уровне. С середины 90-х в локальных сетях стали применяться коммути- 
руемые версии технологий. Отказ от разделяемой среды позволил повысить производительность (на 
сегодня — до 400 Гбит/с, но похоже, что это не предел) и масштабируемость локальных сетей. Пре- 
имуществом коммутируемых локальных сетей является также возможность логической структуризации 
сети с разделением ее на отдельные сегменты, называемые виртуальными локальными сетями (МАМ). 


Успех Е{ћегпеї в локальных сетях привел к тому, что стало целесообразным ее применение и в гло- 
бальных сетях для создания всеохватных бесшовных сервисов Ећегпеї, работающих по принципу 
«из конца в конец». После придания Ећегпеї некоторых дополнительных функций появилась версия 
Еіћегпеї операторского класса (Саггіег Сгаде Ећегпеї), работающая ныне на канальном уровне в по- 
давляющем большинстве глобальных связей. 


В главе 10 рассматриваются все версии протокола Ећегпеї — от первой версии 10С до последних 
версий 1006, 200С и 4009. Здесь также изучается алгоритм моста, лежащий в основе современных 
коммутаторов локальных сетей, и основные принципы работы таких коммутаторов. 


В главе 11 изучаются вопросы обеспечения отказоустойчивости локальных коммутируемых сетей 
с помощью протокола покрывающего дерева ($ТР), техника агрегирования связей АС, а также 
техника виртуальных локальных сетей (МАМ), позволяющая быстро и эффективно выполнять логи- 
ческую структуризацию сети. 


Глава 12 посвящена Ећегпеї операторского класса. В ней рассматриваются усовершенствования, 
внесенные в технологию для более успешного применения Епегпе в сетях операторов связи. 


ГЛАВА 10 Е\пете в локальных 
сетях 


Первый этап — разделяемая среда 


Сегодня технологии локальных сетей на разделяемой среде применяются только в среде 
беспроводных локальных сетей (называемых также сетями Мі-Еі, см. главу 22). Между 
тем в проводных локальных сетях уже довольно давно, с середины 90-х годов, разделяемая 
среда не используется из-за плохой масштабируемости такого подхода. И хотя в стандартах 
единственной выжившей технологии локальных проводных сетей — Ебһегпеї — вариант 
работы на разделяемой среде все еще описан, он разрешен к применению только для низко- 
и среднескоростных версий Е(ћегпеѓ, но не для скоростей 10 Гбит/с и выше. 


Тем не менее мы включили в книгу описание основных идей и характеристик ЕТегпе 
и других технологий на разделяемой проводной среде, так как это помогает понять осо- 
бенности техники применения разделяемой среды, что полезно при разработке новых 
технологий беспроводных сетей, где эта техника является естественной. Кроме того, знания 
истории развития Еегпеё помогает лучше понять некоторые ее характеристики, такие, 
например, как размер и формат кадра Е(ћегпеї, сохранившиеся и в современных комму- 
тируемых версиях Есћегпеѓ, поскольку они были выбраны с учетом их надежной работы 
на разделяемой среде. 


Стандартная топология и разделяемая среда 


Основная цель, которую ставили перед собой разработчики первых локальных сетей во 
второй половине 70-х годов, заключалась в нахождении простого и дешевого решения для 
объединения в вычислительную сеть нескольких десятков компьютеров, находящихся 
в пределах одного здания. 


Для упрощения и, соответственно, удешевления аппаратных и программных решений разработ- 
чики первых локальных сетей остановились на совместном использовании общей разделяемой 
среды передачи данных. Разделяемость среды означает, что все узлы сети пользуются ею, но 
по очереди, и в любой момент времени по ней передается кадр только одного узла. 


Уточним, что этот метод связи компьютеров впервые был опробован при создании радио- 
сети АТОНА Гавайского университета в начале 70-х под руководством Нормана Абрамсона. 
Радиоканал определенного диапазона частот естественным образом является общей средой 
для всех передатчиков, использующих частоты этого диапазона для кодирования данных. 
Сеть АГОНА работала по методу случайного доступа, когда каждый узел мог начать пере- 
дачу пакета в любой момент времени. Если после этого узел не дожидался подтверждения 
приема в течение определенного тайм-аута, то он посылал этот пакет снова. Общим был 
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радиоканал с несущей частотой 400 МГц и полосой 40 кГц, что обеспечивало передачу 
данных со скоростью 9600 бит/с. 


Немного позже Роберт Меткалф, работая в компании Хегох, повторно реализовал идею 
разделяемой среды уже для проводного варианта технологии ГАМ. Непрерывный сегмент 
коаксиального кабеля стал аналогом общей радиосреды. Все компьютеры присоединялись 
к этому сегменту кабеля по схеме монтажного ИЛИ, поэтому при передаче сигналов одним 
из передатчиков все приемники получали один и тот же сигнал, как и при использова- 
нии радиоволн. На рис. 10.1 — начало служебной записки Роберта Меткалфа от 22 мая 
1973 года, с наброском разделяемой среды на коаксиальном кабеле, где эта среда названа 
«а са/е-(гее еег», что можно приблизительно перевести как «древовидный кабельный 


эфир». 


"А све -ТЕЕЕ ЕТЩЕР №19 асо 


ПЕ ЕЕА ЕК 


НЕ РУАН ТО ВЈ А 50-САЕЮ ВАОАРСАЅТ СОМРИТЕА СОММАИСАТ1ОН 
Аса 

МЕТНОВК, НОТ ИЧКЕ ТНЕ МОЦА У$ТЕМ'$ ААр:0 МЕТМОЯК, ВЛ 

РЕСІҒІСАШҮ РОВ 1М- ВИНС МІМТООМРОТЕК СОНМОКІСАТІОК, 


Рис. 10.1. Рисунок Роберта Меткалфа с иллюстрацией идеи эмуляции разделяемого радиоэфира 
при помощи коаксиального кабеля (Һ№іїрѕ://еіћегпеїћіѕїогу.їурераа.сот/рарегѕ/еїһегпеїрортето.ра?) 


В технологиях ТоКкеп Кіпе и ЕОПГ тот факт, что компьютеры используют разделяемую 
среду, не так очевиден, как в случае Есћегпес. Физическая топология (см. ранее) этих 
сетей — кольцо: каждый узел соединяется кабелем с двумя соседними узлами (рис. 10.2). 
Однако и эти отрезки кабеля являются разделяемыми, так как в каждый момент времени 
только один компьютер может использовать кольцо для передачи своих пакетов, а имен- 
но — тот, у которого в данный момент находится специальный кадр, называемый токеном 
или маркером. 


Простые стандартные топологии физических связей (звезда у коаксиального кабеля Епете{ 
и кольцо у Токеп Віпа и РОО!) обеспечивают простоту разделения кабельной среды. 


Использование разделяемых сред позволяет упростить логику работы узлов сети. Дей- 
ствительно, поскольку в каждый момент времени выполняется только одна передача, 
отпадает необходимость в буферизации кадров в транзитных узлах и, как следствие, в са- 
мих транзитных узлах. Соответственно отпадает и необходимость в сложных процедурах 
управления потоком как борьбы с перегрузками. 
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Рис. 10.2. Разделяемая среда в кольцевых топологиях 


Основной недостаток разделяемой среды — плохая масштабируемость. Этот недостаток 
является принципиальным, поскольку, независимо от метода доступа к среде, ее пропуск- 
ная способность делится между всеми узлами сети. Здесь применимо положение теории 
очередей (см. главу 6): как только коэффициент использования общей среды превышает 
определенный порог, очереди к среде начинают расти нелинейно, и сеть становится практи- 
чески неработоспособной. Значение порога зависит от метода доступа. Так, в сетях АІОНА 
это значение является крайне низким — всего около 18 %, в сетях Еїћегпе — около 30 %, 
а в сетях Токеп Кіпр и ЕОПГ оно возросло до 60-70 %. 


Локальные сети, являясь пакетными сетями, используют принцип ТОМ, но, в отличие от 
первичных сетей, это — асинхронная версия ТОМ. 


Алгоритм управления доступом к среде является одной из важнейших характеристик 
любой технологии Г.АМ на разделяемой среде, в значительно большей степени определяя 
ее облик, чем метод кодирования сигналов или формат кадра. В технологии Е(егпеї в ка- 
честве алгоритма разделения среды применяется метод случайного доступа. И хотя его 
трудно назвать совершенным — при росте нагрузки полезная пропускная способность сети 
резко падает, — он, благодаря своей простоте, стал основой успеха технологии Еќћегпес 
в 1980-е годы. Технологии Токеп Ещё и ЕОП] используют метод маркерного доступа, ос- 
нованный на передаче от узла к узлу особого кадра — маркера (токена) доступа. При этом 
только узел, владеющий маркером доступа, имеет право доступа к разделяемому кольцу. 
Более детерминированный характер доступа технологий Токеп Кіпе и ЕОП] предопреде- 
лил более эффективное использование разделяемой среды, чем у технологии Еёћегпеѓ, но 
одновременно и усложнил оборудование. Чтобы описать особенности алгоритма доступа 
к среде технологии Еегпее, нужно сначала познакомиться с некоторыми базовыми ха- 
рактеристиками этой технологии — такими как разбиение ее функций на уровни, способ 
адресации и формат кадра. 


Уровни Еїһћегпеї 


Изначально в фирменной версии Ефегпее, принятой компаниями ОЕС, Пие| и Хегох 
(и получившей название РІХ Есћегпеќ), ее функции не разделялись на уровни, то есть это 
была монолитная технология. Такими же, к слову, были и другие технологии локальных 
сетей 70-х: Токеп Кіпр и Агспе. При стандартизации этих технологий в институте ІЕЕЕ 
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в 1980 году был организован комитет 802, результатом работы которого стало принятие 
семейства стандартов ІЕЕЕ 802.х, которые обобщили фирменный опыт создателей про- 
токолов локальных сетей и выделили в них три функциональных уровня (рис. 10.3): 


Ц физический уровень; 
О уровень доступа к среде (Ме а Ассеѕѕ Сопіго!, МАС); 
О уровень управления логическим каналом (1.01са| пк СопігоЇ, 1.С). 


Определение физического уровня ІЕЕЕ 802 полностью соответствует определению физи- 
ческого уровня модели О$І, в нем описаны характеристики технологии: возможные типы 
физической среды, методы кодирования, типы соединительных разъемов и т. и. А вот 
функции канального уровня модели ОЗ в стандартах ІЕЕЕ 802 представлены двумя уров- 
нями — МАС и ЦС. Выделение функций доступа к среде в отдельный уровень отражает 
их важность при использовании разделяемой среды. 


Стандарты уровня МАС описывают различные методы доступа к разделяемой среде, ис- 
пользуемые в технологиях локальных сетей того времени. Для стандартизации каждого ме- 
тода были созданы отдельные рабочие группы комитета 802. Рабочая группа 802.3 занялась 
стандартизацией метода доступа технологии Еегпе. На рис. 10.3 для полноты картины 
показаны также некоторые другие рабочие группы, как прекратившие свое существование 
(группа 802.5, занимавшаяся стандартизацией технологии Токеп Кіпр), так и действующие 
поныне (группа 802.11, занимающаяся стандартизацией беспроводной технологии М№-Еі). 


Уровень МАС выполняет две основные функции: предоставление узлу доступа к среде 
и последующая доставка кадра от узла источника к узлу назначения в соответствии с его 
адресом. Уровень МАС дал название адресам локальных сетей всех технологий локальных 
сетей, в том числе адресам Е(ћегпеѓ, так что оба названия (МАС-адрес и адрес Ећегпеї) 
используются как равноправные. Хотя уровень МАС и отвечает за доставку кадра узлу 
назначения, он не обеспечивает его надежную доставку. Эту функцию реализует уровень 


1.1С, назначение которого сравнимо с назначением транспортного уровня модели О$] или 
протоколов ТСР и ОРЮР, 


Сетевой уровень 
модели ОЅІ Протокол ІР 


<=_------------------------------------------------------------------------------------------------ 


Канальный Ууровеце лампа Бы овоща выл аа 


модели ОЗ! | А 
Уровень МАС Еһћегпеї ТокепК тд МЕ! 
(802.3) (802.5) (802.11) 
А 
4 рх А 


------- - - - – ааа 


Физический уровень ы ь 
модели ОЅІ 10Вазе-5/2/Т/Х 100Ваѕе-ТХ/ЕХ ве 100СВазе-З КВ 


Рис. 10.3. Уровни стандартов ІЕЕЕ 802.х 
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Специалисты рабочей группы 802.2, разработавшие протоколы уровня [.1.С, хотели обе- 
спечить законченность технологиям локальных сетей, выражающуюся в способности 
самостоятельно, без помощи сетевого уровня обеспечивать транспортные услуги любого 
типа. На уровне ІС было определено три типа услуг: 


О Услуга ЕТС1 — услуга без установления соединения и без подтверждения получения 
данных. 


О Услуга Г1.С2 — услуга, позволяющая пользователю установить логическое соедине- 
ние перед началом передачи любого блока данных и, если это требуется, выполнить 
проиедуры восстановления после ошибок и упорядочивание потока блоков в рамках 
установленного соединения. 


О Услуга І1С3 — услуга без установления соединения, но с подтверждением получения 
данных. 


Какой из трех режимов работы уровня 1.1.С будет использован, зависит от требований 
протокола верхнего уровня. Нужно сказать, что на практике идея обобщения функций обе- 
спечения надежной передачи кадров в общем уровне 1.1.С не оправдала себя. Технология 
Ефегпе в версии РІХ изначально функционировала в наиболее простом дейтаграммном 
режиме — в результате оборудование Еёћегпеќ и после опубликования стандарта ІЕЕЕ 
802.2 продолжало поддерживать только этот режим работы, который формально является 
режимом [.1С1. 


МАС-адреса 


На уровне МАС используются регламентированные стандартом ГЕЕЕ 802.3 уникальные 
6-байтовые адреса. Обычно МАС-адрес записывают в виде шести пар шестнадцатеричных 
цифр, разделенных дефисами или двоеточиями, например 11-А0-17-30-ВС-01. Каждый 
сетевой адаптер имеет, по крайней мере, один МАС-адрес. 


Помимо отдельных интерфейсов, МАС-адрес может определять группу интерфейсов 
и даже все интерфейсы сети. Первый (младший) бит старшего байта адреса назначения — 
это признак того, является адрес индивидуальным или групповым. Если он равен 0, то 
адрес является индивидуальным, то есть идентифицирует один сетевой интерфейс, а если 
1, то групповым. Групповой адрес связан только с интерфейсами, сконфигурированными 
(вручную или автоматически по запросу вышележащего уровня) как члены группы, но- 
мер которой указан в групповом адресе. Если сетевой интерфейс включен в группу, то, 
наряду с уникальным МАС-адресом, с ним ассоциируется еще один адрес — групповой. 
В частном случае, если групповой адрес состоит из всех единиц (имеет шестнадцатеричное 
представление 0ОхЕЕРЕРЕЕЕЕЕЕЕ), то он идентифицирует все узлы сети и называется 
широковещательным. 


Второй бит старшего байта адреса определяет способ назначения адреса — централизо- 
ванный или локальный. Если этот бит равен 0 (что бывает почти всегда в стандартной 


аппаратуре Еегпей), то это говорит о том, что адрес назначен централизованно по пра- 
вилам ІЕЕЕ 802. 


Комитет ГЕЕЕ распределяет между производителями оборудования так называемые орга- 
низационно уникальные идентификаторы (Отгвапіғабіопау Оплдие 14епийег, ОПТ). Каж- 
дый производитель помещает выделенный ему идентификатор в три старших байта адреса 
(например, идентификатор 0х0020АҒ определяет компанию ЗСОМ, а 0х00000С — С15со). 
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За уникальность младших трех байтов адреса отвечает производитель оборудования. 
24 бита, отводимые производителю для адресации интерфейсов его продукции, позволяют 
выпустить примерно 16 миллионов интерфейсов под одним идентификатором организа- 
ции. Уникальность централизованно распределяемых адресов распространяется на все 
основные технологии локальных сетей — Ефегпек, Токеп К те, ЕООГ и т. д. Локальные 
адреса назначаются администратором сети, в обязанности которого входит обеспечение 
их уникальности. 


Сетевые адаптеры Есһегпеѓ могут работать и в так называемом «неразборчивом» режиме 
(рготіѕсиоиѕ то4е), захватывая все кадры, поступающие на интерфейс, независимо от их 
МАС-адресов назначения. Обычно такой режим используется для мониторинга трафика, 
когда захваченные кадры изучаются затем для нахождения причины некорректного по- 
ведения некоторого узла или отладки нового протокола. 


Форматы кадров технологии Етпегте{ 


Существует несколько стандартов формата кадра ЕВеглее. На практике в оборудовании 
Е(Бегпе используется только один формат кадра, а именно — кадр Ефегпее ОХ, называ- 
емый иногда кадром Еегпеї П по номеру последнего стандарта ОХ (рис. 10.4). 


Рис. 10.4. Формат кадра Епегте{ ОІХ (11) 


Первые два поля заголовка отведены под адреса: 
О ОА (Оез@пайоп АЯййгеѕѕ) — МАС-адрес узла назначения; 
О ЅА (Ѕоигсе Аййгеѕѕ) — МАС-адрес узла отправителя. 


Для доставки кадра достаточно одного адреса — адреса назначения; адрес источника 
помещается в кадр для того, чтобы узел, получивший кадр, знал, от кого пришел кадр 
и кому нужно на него ответить. Принятие решения об ответе не входит в компетенцию 
протокола Ефегпее — это дело протоколов верхних уровней, а Еёћегпеѓ выполнит такое 
действие, если с сетевого уровня поступит соответствующее указание. 


Ч Полет (Туре, ЕФегТуре) содержит условный код протокола верхнего уровня, данные 
которого находятся в поле данных кадра, например, шестнадцатеричное значение 
08-00 соответствует протоколу ГР. Это поле требуется для поддержки интерфейсных 
функций мультиплексирования и демультиплексирования кадров при взаимодействии 
с протоколами верхних уровней. 


О Поле данных может содержать от 46 до 1500 байт. Если длина пользовательских 
данных меньше 46 байт, то это поле дополняется до минимального размера байтами 
заполнения. Эта операция требуется для корректной работы метода доступа ЕБегпе 
(см. следующий раздел). 


О Поле контрольной последовательности кадра (Егате Сћеск Зедиепсе, ЕСЅ) состоит из 
4 байт контрольной суммы. Это значение вычисляется по алгоритму СКС-32. 
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Кадр Ееглеё "ІХ (П) не отражает разделения канального уровня Е(ћегпеѓ на уровни 
МАС и 1.1С: его поля поддерживают функции обоих уровней, например, интерфейсные 
функции поля Т относятся к функциям уровня 1.1, в то время как все остальные поля 
поддерживают функции уровня МАС. Существуют и еще три стандартных формата кадра 
Еегпеѓ, описание которых можно найти на сайте. 


($) Форматы кадров Етегпе 


Доступ к среде и передача данных 


Метод доступа, используемый в сетях Есћегпеѓ на разделяемой проводной среде!, носит 
название С$МА/СО (Саггіег Ѕепѕе Маре Ассеѕѕ уіһ СоШзюп Оеѓесйоп — прослуши- 
вание несущей частоты с множественным доступом и распознаванием коллизий). На- 
звание метода достаточно хорошо отражает его особенности. Все компьютеры в сети на 
разделяемой среде имеют возможность немедленно (с учетом задержки распространения 
сигнала в физической среде) получить данные, передаваемые любым из компьютеров 
в общую среду. Говорят, что среда, к которой подключены все станции, работает в режиме 
коллективного доступа (Мшару Ассеѕѕ, МА). Чтобы получить возможность передавать 
кадр. интерфейс-отправитель должен убедиться, что разделяемая среда свободна. Это 
достигается прослушиванием основной гармоники сигнала, которая еще называется 
несущей частотой (Саггег Зеп$е, С5). Признаком «незанятости» среды является от- 
сугствие на ней несущей частоты, которая при манчестерском способе кодирования 
и тактовой частоте 10 МГц равна 5-10 МГц в зависимости от последовательности еди- 
ниц и нулей, передаваемых в данный момент. Если среда свободна, то узел имеет право 
начать передачу кадра. В примере, показанном на рис. 10.5, узел 1 обнаружил, что среда 
свободна, и начал передавать свой кадр. В коаксиальном кабеле сигналы передатчика 
узла 1 распространяются в обе стороны, так что их получают все узлы сети. Кадр данных 
всегда сопровождается преамбулой, которая состоит из 7 байт, каждый из которых име- 
ет значение 10101010, и 8-го байта, равного 10101011. Последний байт носит название 
ограничителя начала кадра. Преамбула нужна для вхождения приемника в побитовую 
и побайтовую синхронизацию с передатчиком. Наличие двух последовательных единиц 
говорит приемнику о том, что преамбула закончилась и следующий бит является на- 
чалом кадра. 


Все станции, подключенные к кабелю, начинают записывать байты передаваемого кадра 
в свои внутренние буферы. Первые 6 байт кадра содержат адрес назначения. Та станция, 
которая узнает собственный адрес в заголовке кадра, продолжает записывать его содер- 
жимое в свой внутренний буфер, а остальные станции на этом прием кадра прекращают. 
Станция назначения обрабатывает полученные данные и передает их вверх по своему 
стеку. Кадр Ефегпе содержит не только адрес назначения, но и адрес источника данных, 
поэтому станция-получатель знает, кому нужно послать ответ. Узел 2 во время передачи 
кадра узлом 1 также пытался начать передачу своего кадра, однако, обнаружив, что среда 
занята — на ней присутствует несущая частота, — вынужден ждать, пока узел 1 не пре- 
кратит передачу кадра. 


1 В беспроводных сетях применяется другой метод доступа, известный как СЗМА/СА. Этот метод 
рассматривается далее в разделе «Беспроводные локальные сети ІЕЕЕ 802.11» главы 22. 
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Коллизия (јат) 


Узел 1 Передача Передача 


Попытка 
доступа ——” Передача 
к шине узла 2 
Узел 2 


Попытка 
доступа к шине узла 3 


Узел З 


Рис. 10.5. Метод случайного доступа СЗМА/СО 


После окончания передачи кадра все узлы сети обязаны выдержать технологическую па- 
узу, равную межпакетному интервалу (Пцег РасКе Сар, ІРС) в 9,6 мкс. Эта пауза нужна 
для приведения сетевых адаптеров в исходное состояние, а также для предотвращения 
монопольного захвата среды одной станцией. После окончания технологической паузы 
узлы имеют право начать передачу своего кадра, так как среда свободна. В приведенном 
примере узел 2 дождался окончания передачи кадра узлом 1, сделал паузу в 9,6 мкс и на- 
чал передачу своего кадра. 


Возникновение и распознавание коллизии 


Механизм прослушивания среды и пауза между кадрами не гарантируют исключения ситу- 
ации, когда две или более станции одновременно решают, что среда свободна, и начинают 
передавать свои кадры. Говорят, что при этом происходит коллизия, так как содержимое 
обоих кадров сталкивается в общем кабеле и происходит искажение информации. Колли- 
зия — это нормальная ситуация в работе сетей Ефегпей на разделяемой среде. В примере 
на рис. 10.6 коллизию породила одновременная передача данных узлами З и 1. Для возник- 
новения коллизии не обязательно, чтобы несколько станций начали передачу абсолютно 
одновременно — напротив, более вероятна ситуация, когда один узел начинает передачу, 
а через некоторое (короткое) время другой узел, проверив среду и не обнаружив несущую 
(сигналы первого узла еще не успели до него дойти), начинает передачу своего кадра. Таким 
образом, возникновение коллизии — следствие распределения узлов сети в пространстве. 


Для корректной обработки коллизии все станции одновременно наблюдают за возника- 
ющими на кабеле сигналами. Если передаваемые и наблюдаемые сигналы отличаются, 
то фиксируется факт обнаружения коллизии (СоШ5$1оп Юеѓесііоп, СО). Для повышения 
вероятности скорейшего обнаружения коллизии всеми станциями сети станция, обнару- 
жившая коллизию, прерывает передачу своего кадра (в произвольном месте, возможно, 
и не на границе байта), усугубляя коллизию посылкой в сеть последовательности из 32 бит, 
называемой јат-последовательностью. Затем обнаружившая коллизию передающая стан- 
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ция обязана прекратить передачу, сделать паузу в течение короткого случайного интервала 
времени, после чего снова предпринять попытку захвата среды и передачи кадра. Если 
16 последовательных попыток передачи кадра вызывают коллизию, то передатчик должен 
прекратить попытки и отбросить этот кадр. 


Узел 1 Узел 3 


Среда свободна — 
узел 3 начинает 
передачу 


Столкновение 
сигналов 


Узел 3 обнаруживает 
Г 1 коллизию 


Коллизия распространяется 
до узла 1 


Рис. 10.6. Схема возникновения и распространения коллизии 


Поведение сети Есћегпе при значительной нагрузке, когда коэффициент использования 
среды растет и начинает приближаться к 1, в целом соответствует графикам при анализе 
модели теории очередей (см. главу 5). Рост времени ожидания освобождения среды в сетях 
Е Бегпе( начинается раньше, чем в данной модели, вследствие того, что в ней не учитыва- 
ется такая особенность ЕТегпек, как коллизии. 


Администраторы сетей Еёһћегпеѓ на разделяемой среде руководствовались простым эм- 
пирическим правилом — коэффициент использования среды не должен превышать 30 %. 
Для поддержки чувствительного к задержкам трафика сети Есћегпеѓ (и другие сети на 
разделяемой среде) могут применять только один метод поддержания характеристик 
Оо5 — недогруженный режим работы. Надежное распознавание коллизий всеми станци- 
ями сети — необходимое условие корректной работы сети Еегпее. Для надежного рас- 
познавания коллизий должно выполняться соотношение: 


ЕТ 


где Ти — время передачи кадра минимальной длины, а КТТ — время оборота, то есть 
время, за которое сигнал, посланный некоторой станцией сети, доходит то точки коллизии 


Глава 10. Ећегпеї в локальных сетях 317 


и возвращается к станции-отправителю в уже искаженной коллизией форме. В худшем 
случае сигнал должен пройти дважды между наиболее удаленными друг от друга станци- 
ями сети. При выполнении этого условия передающая станция должна успеть обнаружить 
коллизию, которую вызвал переданный ею кадр, еще до окончания передачи этого кадра. 
Очевидно, что выполнение условия зависит, с одной стороны, от минимальной длины 
кадра и скорости передачи данных протокола, а с другой — от длины кабельной системы 
сети и скорости распространения сигнала в кабеле (для разных типов кабеля эта скорость 
несколько отличается). 


Все параметры протокола Е(ћегпеќ, в том числе минимальный размер кадра, подобраны 
таким образом, чтобы при нормальной работе сети коллизии четко распознавались. Так, 
стандарт Е(һегпеѓ определяет минимальную длину поля данных кадра в 46 байт (что вместе 


со служебными полями дает минимальную длину кадра 64 байта, а вместе с преамбулой — 
72 байта, или 576 бит). 


Отсюда может быть вычислено ограничение на расстояние между станциями. В стандарте 
Есһегпеѓ 10 Мбит/с время передачи кадра минимальной длины равно 575 битовым интер- 
валам, следовательно, время оборота должно быть меньше 57,5 мкс. Расстояние, которое 
сигнал может пройти за это время, зависит от типа кабеля и для толстого коаксиального 
кабеля равно примерно 13 280 м. Учитывая, что за время 57,5 мкс сигнал должен пройти 
по линии связи дважды, расстояние между двумя узлами не должно быть больше 6635 м. 
В стандарте величина этого расстояния выбрана равной 2500 м, что существенно меньше. 
Это объясняется тем, что в сети могут использоваться повторители, которые нужны для 
соединения отдельных сегментов кабеля, внося задержки в распространение сигнала. 


Описанные соображения объясняют выбор минимальной длины поля данных кадра в 46 байт. 
Уменьшение этого значения до 0 привело бы к значительному сокращению максимальной длины 
сети. Несмотря на то что сегодня Е{Пегпе! не работает на разделяемой среде, требование к ми- 
нимальной длине поля данных кадра Ећегпеї осталось в силе. 


Требование Ти» > КТТ имеет одно интересное следствие: чем выше скорость протокола, 
тем меньше должна быть максимальная длина сети. Поэтому для Ефегпе на разделяемой 
среде при скорости в 100 Мбит/с максимальная длина сети пропорционально уменьшается 
до 250 м, а при скорости в 1 Гбит/с — до 25 м. Эта зависимость, наряду с резким ростом за- 
держек при повышении загрузки сети, говорит о коренном недостатке как метода доступа 
СМА /СР в частности, так и принципа разделяемой среды в целом. 


Физические стандарты 10М Еїһегпеї 


При первоначальной стандартизации технологии Еќћегпеї рабочей группой ІЕЕЕ 802.3 был 
выбран вариант Есһегпеѓ на «толстом» коаксиальном кабеле, который получил название 
10Ваѕе-5. Число 10 в этом названии обозначает номинальную битовую скорость передачи 
данных стандарта, то есть 10 Мбит/с, а слово «Ваѕе» — метод передачи на одной базовой 
частоте! (в данном случае — 10 МГц). Последний символ в названии стандарта физиче- 


і В отличие от методов, использующих несколько несущих частот, такие методы называются широко- 
полосными и имеют в своем составе слово «Бгоа4Бап4». Эти методы, хотя и были стандартизованы, 
не получили распространения в период популярности локальных сетей на разделяемой среде. 
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ского уровня обозначает тип кабеля, в данном случае «5» отражает тот факт, что диаметр 
«толстого» коаксиала равен 0,5 дюйма. 


Данный подход к обозначению типа физического уровня Еїћегпеї сохранился до настоящего 
времени, только вместо диаметра коаксиального кабеля в современных стандартах кодиру- 
ется скорость, тип кабеля и некоторые другие параметры. Например, 1000Вазе-Т определяет 
спецификацию скорости 1000 Мбит/с для витой пары, а 400СВазе-Е В – спецификацию скорости 
400 Гбит/с на одномодовом оптоволоконном кабеле длиной до 10 км (Я — от опо Вапое). 


В качестве метода кодирования сигналов был выбран манчестерский КОД. 


Затем сети Е(һћегпеѓ на «толстом» коаксиальном кабеле были вытеснены сетями на более 
«тонком» коаксиале (диаметром 0,25 дюйма, что отражает название 10Вазе-2 этого стан- 
дарта), который позволял строить сети более экономичным способом. 


Однако сети Ећегпе на коаксиальном кабеле обладали одним существенным недостат- 
ком — отсутствием оперативной информации о состоянии кабеля и сложностью нахожде- 
ния места его повреждения, поэтому поиск неисправностей стал привычной процедурой 
и головной болью многочисленной армии сетевых администраторов коаксиальных сетей 
Еегпеї. 


Альтернатива появилась в середине 80-х, когда благодаря использованию витой пары 
и повторителей сети Еегпе! стали гораздо более ремонтопригодными. К этому времени 
телефонные компании уже достаточно давно применяли многопарный кабель на основе 
неэкранированной витой пары для подключения телефонных аппаратов внутри зданий. 
Идея приспособить этот популярный вид кабеля для локальных сетей оказалась очень 
плодотворной — многие здания уже были оснащены нужной кабельной системой. Остава- 
лось разработать способ подключения сетевых адаптеров и прочего коммуникационного 
оборудования к витой паре таким образом, чтобы минимизировать изменения в сетевых 
адаптерах и программном обеспечении сетевых операционных систем по сравнению с се- 
тями Есегпеѓ на коаксиале. Эта попытка оказалась успешной — переход на витую пару 
требует только замены приемника и передатчика сетевого адаптера, а метод доступа и все 
протоколы канального уровня остаются теми же, что и в сетях Е(ћегпеѓ на коаксиале. 
Результат реализации этой идеи — стандарт 10Ваѕе-Т (Т — от Пмзе4 раіг). Правда, для 
соединения узлов в сеть теперь обязательно требуется коммуникационное устройство — 
многопортовый повторитель ЕТегпе на витой паре. 


Устройство повторителя схематично изображено на рис. 10.7. Каждый сетевой адаптер 
соединяется с повторителем двумя витыми парами: одна требуется для передачи данных 
от станции к повторителю (выход Тҳ сетевого адаптера), другая — для передачи данных от 
повторителя к станции (вход Кх сетевого адаптера). Повторитель побитно принимает сиг- 
налы от одного из конечных узлов и синхронно передает их на все свои остальные порты, 
исключая тот, с которого поступили сигналы, одновременно улучшая их электрические 
характеристики. 


Многопортовый повторитель часто называют концентратором, или хабом (от англ. ћир — 
центр, ступица колеса), так как в нем сконцентрированы соединения со всеми конечными 
узлами сети. Фактически хаб имитирует сеть на коаксиальном кабеле в том отношении, 
что физически отдельные отрезки кабеля на витой паре логически все равно представляют 
единую разделяемую среду. Все правила доступа к среде по алгоритму СЗМА/СО сохраня- 
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ются. При создании сети Е{Тегпе на витой паре с большим числом конечных узлов хабы 
можно соединять друг с другом иерархически, образуя древовидную структуру (рис. 10.8). 
Добавление каждого хаба изменяет физическую структуру, оставляя без изменения логи- 
ческую структуру сети. То есть независимо от числа хабов в сети сохраняется одна общая 
для всех интерфейсов разделяемая среда, так что передача кадра с любого интерфейса 
блокирует передатчики всех остальных интерфейсов. 


Узел сети 


Рис. 10.7. Повторитель Е{Пегпе{ на витой паре 


И: 


Рис. 10.8. Иерархическое соединение хабов 


Физическая структуризация сетей, построенных на основе витой пары, повысила на- 
дежность сетей Ефегпеф, поскольку в этом случае возможно контролировать состояние 
и локализовать отказы отдельных кабельных отрезков, подключающих конечные узлы 
к концентраторам. В случае обрыва, короткого замыкания или неисправности сетевого 
адаптера работа сети может быть быстро восстановлена путем отключения соответствую- 
щего сегмента кабеля. Но физическая структуризация не избавила Е(ћегпеї от ограничений 
по диаметру сети и количеству узлов, определяемых необходимостью распознавания кол- 
лизий. Дальнейший прогресс Есћегпеѓ требовал принципиально иного решения, которое 
нашлось в виде коммутируемого Еегпей. 
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Коммутируемый Е{һегпеї 


Мост как предшественник и функциональный 
аналог коммутатора 


Современные коммутаторы Есһегпе являются наследниками мостов локальных сетей, 
которые широко использовались в сетях Е{Вегпе и Токеп Кіпр на разделяемой среде. Бо- 
лее того, коммутаторы Еегпе по-прежнему функционально очень близки к вышедшим 
из употребления мостам, так как базовый алгоритм работы коммутатора и моста является 
одним и тем же и определяется одним стандартом ІЕЕЕ 802.101, хотя по традиции во всех 
новых стандартах ЕЕЕ, описывающих свойства коммутаторов, употребляется термин 
«мост», а не «коммутатор». Основное отличие коммутатора от моста состоит в большем 
количестве портов (мост, как правило, имел два порта, что и послужило поводом для его 
названия — мост между двумя сегментами) и более высокой производительности, дости- 
гаемой за счет одновременной передачи кадров между парами портов. Далее мы будем 
использовать эти термины как синонимы, выбирая нужный в зависимости от контекста. 


Коммутаторы являются сегодня основным типом коммуникационных устройств, применя- 
емых для построения локальных сетей. Их успех оказал решающее влияние на эволюцию 
Ећегпеѓ — в новых скоростных версиях Е(ћегпеѓ, начиная с версии 10С Е(ћегпеќ, стандарт 
ІЕЕЕ 802.3 описывает работу узлов только в коммутируемой среде. 


Алгоритм прозрачного моста ІЕЕЕ 802.10 


Мост локальной сети (ТАМ Ьгійве), или просто мост, появился как средство построения 
крупных локальных сетей на разделяемой среде. Мост объединяет две или более разделя- 
емые среды в единую сеть, при этом передача кадров между узлами каждой из объединяе- 
мых сред происходит по стандартным правилам изолированной разделяемой среды. Мост 
отвечает только за передачу кадров между объединенными средами, которые называются 
сегментами локальной сети. 


Мост выполняет логическую структуризацию сети, то есть разделяет разделяемую среду на не- 
сколько сегментов и соединяет полученные сегменты, при этом мост не передает данные между 
сегментами побитно, как повторитель, а буферизует кадры и передает их затем в тот или иной 
сегмент (или сегменты) в зависимости от адреса назначения кадра (рис. 10.9). 


Нужно отличать логическую структуризацию от физической. Например, концентраторы 
стандарта 10Ваѕе-Т позволяют построить сеть, состоящую из нескольких сегментов кабеля 
на витой паре, но это — физическая структуризация, так как логически все эти сегменты 
представляют собой единую разделяемую среду. Логическая структуризация сети с помо- 
щью мостов/коммутаторов является первым шагом на пути виртуализации сети, так как 
пользователям отдельного логического сегмента предоставляется виртуальный ресурс — 
коммуникационная среда с определенной пропускной способностью. 


1 Комитет ІЕЕЕ 802.1 занимается общими для всех технологий локальных сетей вопросами: работа 
моста, обеспечение качества обслуживания ОоЅ ит. п. 
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Рис. 10.9. Логическая структуризация сети 


Логическая структуризация локальной сети позволяет решить несколько задач, основные 
из которых — повышение производительности и безопасности. 


Повышение производительности сети, разделенной мостом на сегменты, происходит из-за 
того, что среда каждого сегмента разделяется теперь между меньшим числом конечных 
узлов. В примере на рис. 10.9 при разделении общей среды на три сегмента максимальное 
количество узлов, разделяющих среду, снизилось с 8 до 3. Нужно подчеркнуть, что мост 
принципиально не исключает существования разделяемой среды, в каждом отдельном 
сегменте она по-прежнему может использоваться и именно так строились сети в 80-х. Од- 
нако в современных коммутируемых локальных сетях применяется микросегментация — 
частный случай сегментации, когда сегмент состоит из одного узла, так что разделения 
среды не требуется. 


Устанавливая различные логические фильтры на мостах/коммутаторах, можно контро- 
лировать доступ пользователей к ресурсам других сегментов, чего не позволяют делать 
повторители. Так достигается повышение безопасности данных. Как мосты, так и коммута- 
торы продвигают кадры на основании одного и того же алгоритма, а именно — алгоритма 
прозрачного моста, описанного в стандарте ІЕЕЕ 802.10. Слово «прозрачный» в названии 
алгоритм прозрачного моста отражает тот факт, что конечные узлы сети функционируют, 
«не замечая» присутствия в сети мостов. Так как алгоритм прозрачного моста остался 
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единственным актуальным алгоритмом мостов, то в дальнейшем мы будем опускать тер- 
мин «прозрачный», подразумевая именно этот тип алгоритма работы моста/коммутатора. 


Мост строит свою таблицу продвижения (адресную таблицу) на основании пассивного 
наблюдения за трафиком, циркулирующим в подключенных к его портам сегментах, учи- 
тывая адреса источников кадров данных, поступающих на его порты. По адресу источника 
кадра мост делает вывод о принадлежности узла-источника тому или иному сегменту сети. 


ВНИМАНИЕ 


Каждый порт моста работает как конечный узел своего сегмента, за одним исключением — порт моста 
может не иметь собственного МАС-адреса. Порты мостов не нуждаются в адресах для продвижения 
кадров, так как они работают в неразборчивом режиме захвата кадров, когда все поступающие на 
порт кадры, независимо от их адреса назначения, запоминаются на время в буферной памяти. Рабо- 
тая в неразборчивом режиме, мост «слушает» весь трафик, передаваемый в присоединенных к нему 
сегментах, и использует проходящие через него кадры для изучения топологии сети и построения та- 
блицы продвижения. В том случае, когда порт моста/коммутатора имеет собственный МАС-адрес, он 
используется для целей, отличных от продвижения кадров, чаще всего — для удаленного управления 
портом; в этом случае порт представляет собой конечный узел сети и кадры протокола управления 
адресуются непосредственно ему. 


Рассмотрим процесс автоматического создания таблицы продвижения моста и ее исполь- 
зования на примере простой сети, представленной на рис. 10.10. 


Сегмент 2 


Рис. 10.10. Принцип работы прозрачного моста/коммутатора 


Мост соединяет два сетевых сегмента. Сегмент 1 составляют компьютеры, подключенные 
с помощью одного отрезка коаксиального кабеля к порту 1 моста, а сегмент 2 — компью- 
теры, подключенные с помощью другого отрезка коаксиального кабеля к порту 2 моста. 
В исходном состоянии мост не знает о том, компьютеры с какими МАС-адресами подклю- 
чены к каждому из его портов. В этой ситуации мост просто передает любой захваченный 
и буферизованный кадр на все свои порты за исключением того порта, от которого этот кадр 
получен. В нашем примере у моста только два порта, поэтому он передает кадры с порта 1 
на порт 2 и наоборот. Отличие работы моста в этом режиме от повторителя — в том, что 
он передает кадр, предварительно буферизуя его, а не бит за битом, как это делает повто- 
ритель. Буферизация отменяет логику работы всех сегментов как единой разделяемой 
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среды. Когда мост собирается передать кадр с сегмента на сегмент, например, с сегмента 1 
на сегмент 2, он, как обычный конечный узел, пытается получить доступ к разделяемой 
среде сегмента 2 по правилам алгоритма доступа, в данном примере — по правилам алго- 
ритма СЗМА/СО. Одновременно с передачей кадра на все порты мост изучает адрес ис- 
точника кадра и делает запись о его принадлежности к тому или иному сегменту в своей 
адресной таблице. Эту таблицу также называют таблицей фильтрации или продвижения. 
Например, получив на порт 1 кадр от компьютера 1, мост делает первую запись в своей 
адресной таблице: 


МАС-адрес 1 — порт 1. 


Эта запись означает, что компьютер, имеющий МАС-адрес 1, принадлежит сегменту, под- 
ключенному к порту 1 коммутатора. Если все четыре компьютера данной сети проявляют 
активность и посылают друг другу кадры, то скоро мост построит полную адресную та- 
блицу сети из четырех записей — по одной записи на узел (см. рис. 10.10). При каждом 
поступлении кадра на порт моста он прежде всего пытается найти адрес назначения кадра 
в адресной таблице. Продолжим рассмотрение действий моста на примере рис. 10.10: 


1. При получении кадра, направленного от компьютера 1 компьютеру 3, мост просма- 
тривает адресную таблицу на предмет совпадения адреса в какой-либо из ее записей 
с адресом назначения — МАС-адресом 3. Запись с искомым адресом имеется в адрес- 
ной таблице. 


2. Далее мост выполняет второй этап анализа таблицы — проверяет, находятся ли ком- 
пьютеры с адресами источника и назначения в одном сегменте. В примере компьютер 1 
(МАС-адрес 1) и компьютер 3 (МАС-адрес 3) находятся в разных сегментах. Следова- 
тельно, мост выполняет операцию продвижения (ѓогмагііпе) кадра — передает кадр 
на порт 2, ведущий в сегмент получателя, получает доступ к сегменту и передает туда 
кадр. 


3. Если бы оказалось, что компьютеры принадлежали одному сегменту, то кадр просто 
был бы удален из буфера. Такая операция называется фильтрацией (Нег!пр). 


4. Если бы запись о МАС-адресе 3 отсутствовала в адресной таблице, то есть, другими 
словами, адрес назначения был неизвестен мосту, то он передал бы кадр на все свои 
порты, кроме порта — источника кадра, как и на начальной стадии процесса обучения. 


Процесс обучения моста никогда не заканчивается и происходит одновременно с про- 
движением и фильтрацией кадров. Мост постоянно следит за адресами источника буфе- 
ризуемых кадров, чтобы автоматически приспосабливаться к изменениям, происходящим 
в сети, — перемещениям компьютеров из одного сегмента сети в другой, отключению 
и появлению новых компьютеров. 


Входы адресной таблицы могут быть динамическими, создаваемыми в процессе самообу- 
чения моста, и статическими, создаваемыми вручную администратором сети. Статические 
записи не имеют срока жизни, что дает администратору возможность влиять на работу 
моста, например, ограничивая передачу кадров с определенными адресами из одного 
сегмента в другой. 


Динамические записи имеют срок жизни — при создании или обновлении записи в адрес- 
ной таблице с ней связывается отметка времени. По истечении определенного тайм-аута 
запись помечается как недействительная, если за это время мост не принял ни одного кадра 
с данным адресом в поле адреса источника. Это дает возможность мосту автоматически 
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реагировать на перемещения компьютера из сегмента в сегмент — при его отключении 
от старого сегмента запись о принадлежности компьютера к этому сегменту со временем 
вычеркивается из адресной таблицы. После подключения компьютера к другому сегменту 
его кадры начнут попадать в буфер моста через другой порт, а в адресной таблице появится 
новая запись, соответствующая текущему состоянию сети. 


Кадры с широковещательными и групповыми МАС-адресами, как и кадры с неизвест- 
ными адресами назначения, передаются мостом на все его порты. Такой режим рас- 
пространения кадров называется затоплением сети (Йоо4 тя). Наличие мостов в сети 
не препятствует распространению широковещательных и групповых кадров по всем 
сегментам сети. Однако это является достоинством только тогда, когда такой адрес вы- 
работан корректно работающим узлом. Нередко в результате каких-либо программных 
или аппаратных сбоев протокол верхнего уровня либо сетевой адаптер начинает рабо- 
тать некорректно, а именно постоянно с высокой интенсивностью генерировать кадры 
с широковещательным адресом. Мост в соответствии со своим алгоритмом передает 
ошибочный трафик во все сегменты. Такая ситуация называется широковещательным 
штормом (Бгоадсаѕі ѕіогт). 


К сожалению, мосты не защищают сети от широковещательного шторма, во всяком слу- 
чае, по умолчанию, как это делают маршрутизаторы (вы познакомитесь с этим свойством 
маршрутизаторов в части ІУ). Максимум, что может сделать администратор с помощью 
коммутатора для борьбы с широковещательным штормом — установить для каждого пор- 
та моста предельно допустимую интенсивность передачи кадров с широковещательным 
адресом. Но при этом нужно точно знать, какая интенсивность является нормальной, 
а какая — ошибочной. При смене протоколов ситуация в сети может измениться, и то, 
что вчера считалось ошибочным, сегодня может оказаться нормой. На рис. 10.11 показана 
типичная структура моста. Функции доступа к среде при приеме и передаче кадров вы- 
полняют микросхемы МАС, которые идентичны микросхемам сетевого адаптера. 


Адрес Номер 
ЕА 


Программное 
обеспечение | Протокол 
управления моста 


Буферная 
память 
(кадры) 


Процессорный блок 


Станции Станции 


Рис. 10.11. Структура моста/коммутатора 
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Протокол, реализующий алгоритм коммутатора, располагается между уровнями МАС 
и ИС. На рис. 10.12 показана копия экрана терминала с адресной таблицей моста. 


Рогмагаіпо Табе Раде 1 о! 1 


Ааагеѕѕ Оіѕрп Адаге$$ Оіѕрп Аддгеѕѕ Оіѕрп 


00608СВ17Е58 ТАМ В 000081029806 ТАМА 02070188АСА ГАМА 
00008101С4рЕ ТАМ В + 000081016452 ТАМА * 010081000100 ооа 
* 010081000101 Оіѕсага / * 0180С2000000 Оіѕсага * 000081ҒҒО166 Ніооа 


Статус адреса: | 
срок жизни записи истек 


М№ех{ Раде Ргеу Раде Еа Табе Ѕеагсһ Ќет Со Раде 


+ Итеатед * Ѕіайіс Тоїаі Епігіеѕ = 9 бЅіаііс Епігіеѕ = 4 
зе сигзог Кеуѕ іо сһооѕе орііоп. Ргеѕѕ <КЕТУКМ> їо зе“. 
Ргеѕѕ <СТВІ > <Р> їо гаит їо Мат Мепи 


Рис. 10.12. Адресная таблица моста/коммутатора 


Из выводимой на экран адресной таблицы видно, что сеть состоит из двух сегментов — 
ГАМ Аи ТАМ В. В сегменте АМ А имеются, по крайней мере, З станции, в сегменте 
АМ В -— 2 станции. Четыре адреса, помеченные звездочками, являются статическими, 
то есть назначенными администратором вручную. Адрес, помеченный плюсом, является 
динамическим адресом с истекшим сроком жизни. 


Таблица имеет поле Ріѕрп — «іѕроѕіііоп» (это «распоряжение» мосту о том, какую опе- 
рацию нужно проделать с кадром, имеющим данный адрес назначения). Обычно при 
автоматическом составлении таблицы в этом поле ставится условное обозначение порта на- 
значения, при ручном же задании адреса в это поле можно внести нестандартную операцию 
обработки кадра. Например, операция Ёоо (затопление) заставляет мост распространять 
кадр в широковещательном режиме, несмотря на то что его адрес назначения не являет- 
ся широковещательным. Операция Ріѕсағӣ (отбросить) говорит мосту, что кадр с таким 
адресом не нужно передавать на порт назначения. Вообще говоря, операции, задаваемые 
в поле Ріѕрп, определяют особые условия фильтрации кадров, дополняющие стандартные 
условия их распространения. Такие условия обычно называют пользовательскими филь- 
трами (подробнее см. раздел «Фильтрация трафика» главы 11). 


Топологические ограничения при применении мостов 
в локальных сетях 


Серьезным ограничением функциональных возможностей мостов и коммутаторов является от- 
сутствие поддержки петлеобразных конфигураций сети. 


Рассмотрим это ограничение на примере сети, показанной на рис. 10.13. 


Два сегмента Е(ћегпеё параллельно соединены двумя мостами, так что образовалась петля. 
Пусть новая станция с МАС-адресом 123 впервые начинает работу в данной сети. Обычно 
начало работы любой ОС сопровождается рассылкой широковещательных кадров, в кото- 
рых станция заявляет о своем существовании и одновременно ищет сервера сети. 
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Новый узел 10 


| 
| 
— ===] т == ре =] рат ==] о ое ИТ 
тоотой р адарве: 80742220: ааай Д-ани=чеир4 аана ной 
Ы \ % 


поа в в в] 


Рис. 10.13. Влияние замкнутых маршрутов на работу коммутаторов 


На этапе 1 станция посылает первый кадр с широковещательным адресом назначения 
и адресом источника 123 в свой сегмент. Кадр попадает как в мост 1, так и в мост 2. В обоих 
мостах новый адрес источника 123 заносится в адресную таблицу с пометкой о его принад- 
лежности сегменту 1, то есть создается новая запись вида: 


МАС -адрес 123 — Порт 1 


Так как адрес назначения широковещательный, каждый мост должен передать кадр на 
сегмент 2. Эта передача происходит поочередно в соответствии с методом случайного 
доступа технологии Еїћегпес. Пусть первым доступ к сегменту 2 получает мост 1 (этап 2 
на рис. 10.13). При появлении кадра на сегменте 2 мост 2 принимает его в свой буфер 
и обрабатывает. Он видит, что адрес 123 уже есть в его адресной таблице, но пришедший 
кадр является более свежим, и он решает, что адрес 123 принадлежит сегменту 2, а не 1. 
Поэтому мост 2 корректирует содержимое базы и делает запись о том, что адрес 123 при- 
надлежит сегменту 2: 


МАС -адрес 123 — Порт 2 


Аналогично поступает мост 1, когда мост 2 передает свою копию кадра на сегмент 2. Пере- 
числим последствия наличия петли в сети: 


0 «Размножение» кадра, то есть появление нескольких его копий (в данном случае — 
двух, но если бы сегменты были соединены тремя мостами — трех ит. д.). 


О Бесконечная циркуляция обеих копий кадра по петле в противоположных направле- 
ниях, а значит, засорение сети ненужным трафиком. 


О Постоянная перестройка мостами своих адресных таблиц, так как кадр с адресом ис- 
точника 123 будет появляться то на одном порту, то на другом. 


В целях исключения всех этих нежелательных эффектов мосты/коммутаторы нужно 
применять так, чтобы между логическими сегментами не было петель, то есть строить 
с помощью коммутаторов только древовидные структуры, гарантирующие наличие един- 
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ственного пути между любыми двумя сегментами. Тогда кадры от каждой станции будут 
поступать на мост/коммутатор всегда с одного и того же порта, и коммутатор сможет 
правильно решать задачу выбора рационального маршрута в сети. 


В небольших сетях сравнительно легко гарантировать наличие одного и только одного 
пути между двумя сегментами. Но когда количество соединений возрастает, вероятность 
непреднамеренного образования петли оказывается высокой. 


Возможна и другая причина возникновения петель. Так, для повышения надежности же- 
лательно иметь между мостами /коммутаторами резервные связи, которые не участвуют 
в нормальной работе основных связей по передаче информационных кадров станций, 
но при отказе какой-либо основной связи образуют новую связную рабочую конфигу- 
рацию без петель. Избыточные связи необходимо блокировать, то есть переводить их 
в неактивное состояние. В сетях с простой топологией эта задача решается вручную 
путем блокирования соответствующих портов мостов/коммутаторов. В больших сетях 
со сложными связями используются алгоритмы, которые позволяют решать задачу 
обнаружения петель автоматически. Наиболее известным из них является стандартный 
алгоритм покрывающего дерева (Ѕраппіпе Тгее АІеогііЬт, ТА), который детально рас- 
смотрен в главе 11. 


Коммутаторы 


Параллельная коммутация 


При появлении на рубеже 1980-х — 1990-х годов быстрых протоколов, производительных 
персональных компьютеров, мультимедийной информации и разделении сети на большое 
количество сегментов классические мосты перестали справляться с работой. Обслужи- 
вание потоков кадров уже несколькими портами с помощью одного процессорного блока 
требовало значительного повышения быстродействия процессора, что довольно дорого. 


Более эффективным оказалось решение, которое и «породило» коммутаторы: для об- 
служивания потока, поступающего на каждый порт, в устройство ставился отдельный 
специализированный процессор, который реализовывал алгоритм прозрачного моста. По 
сути, коммутатор — это мультипроцессорный мост, способный параллельно продвигать 
кадры сразу между всеми парами своих портов. Но если при добавлении процессорных 
блоков компьютер не перестали называть компьютером, а добавили только прилагатель- 
ное «мультипроцессорный», то с мультипроцессорными мостами произошла метаморфо- 
за — во многом по маркетинговым причинам они превратились в коммутаторы. Нужно 
отметить, что помимо процессоров портов коммутатор имеет центральный процессор, 
который координирует работу портов, отвечая за построение общей таблицы продви- 
жения, а также поддерживая функции конфигурирования и управления коммутатором. 


Со временем коммутаторы вытеснили из локальных сетей классические однопроцессор- 
ные мосты. Основная причина этого — существенно более высокая производительность, 
с которой коммутаторы передают кадры между сегментами сети. Если мосты могли даже 
замедлять работу сети, то коммутаторы всегда выпускаются с процессорами портов, 
способными передавать кадры с той максимальной скоростью, на которую рассчитан про- 
токол. Добавление к этому возможности параллельной передачи кадров между портами 
предопределило судьбу и мостов, и коммутаторов. 
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Производительность коммутаторов на несколько порядков выше, чем мостов, — коммутаторы 
могут передавать до нескольких десятков, а иногда и сотен миллионов кадров в секунду, в то 
время как мосты обычно обрабатывали 3-5 тысяч кадров в секунду. 


За время своего существования уже без конкурентов-мостов коммутаторы вобрали в себя 
многие дополнительные функции, родившиеся в результате естественного развития сете- 
вых технологий. К этим функциям относятся, например, поддержка виртуальных сетей 
(УГАМ), агрегирование линий связи, приоритизация трафика и т. п. Развитие технологии 
производства заказных микросхем также способствовало успеху коммутаторов, в резуль- 
тате процессоры портов сегодня обладают такой вычислительной мощностью, которая 
позволяет им быстро реализовывать весьма сложные алгоритмы обработки трафика, на- 
пример, выполнять его классификацию и профилирование. 


Основной причиной повышения производительности сети при использовании коммутатора яв- 
ляется параллельная обработка нескольких кадров. 


Этот эффект иллюстрирует рис. 10.14, на котором показана идеальная в отношении про- 
изводительности ситуация, когда четыре порта из восьми передают данные с максималь- 
ной для протокола ЕВегпей скоростью в 10 Мбит/с. Причем они передают эти данные на 
остальные четыре порта коммутатора, не конфликтуя: потоки данных между узлами сети 
распределились так, что для каждого принимающего кадры порта есть свой выходной порт. 
Если коммутатор успевает обрабатывать входной трафик при максимальной интенсив- 
ности поступления кадров на входные порты, то общая производительность коммутатора 
в приведенном примере составит 4 х 10 = 40 Мбит/с, а при обобщении примера для № пор- 
тов — (№2) х 10 Мбит/с. В таком случае говорят, что коммутатор предоставляет каждой 


Коммутатор 


(1)—(4) — потоки кадров между компьютерами 


Рис. 10.14. Параллельная передача кадров коммутатором 
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станции или сегменту, подключенному к его портам, выделенную пропускную способность 
протокола. 


Естественно, что в сети не всегда складывается описанная ситуация. Если двум станциям, 
например, станциям, подключенным к портам З и 4, одновременно нужно записывать 
данные на один и тот же сервер, подключенный к порту 8, то коммутатор не сможет вы- 
делить каждой станции по 10 Мбит/с, так как порт 8 не в состоянии передавать данные 
со скоростью 20 Мбит/с. Кадры станций будут ожидать во внутренних очередях входных 
портов З и 4, когда освободится порт 8 для передачи очередного кадра. Очевидно, хорошим 
решением для такого распределения потоков данных было бы подключение сервера к более 
высокоскоростному порту, например, Еаѕё Есћегпеѓ или Сівађіє Есћегпе. 


Дуплексный режим работы 


Технология коммутации сама по себе не имеет непосредственного отношения к методу 
доступа к среде, который используется портами коммутатора. При подключении к порту 
коммутатора сегмента, представляющего собой разделяемую среду, данный порт, как и все 
остальные узлы такого сегмента, должен поддерживать полудуплексный режим. Однако 
когда к каждому порту коммутатора подключен не сегмент, а только один компьютер, при- 
чем по двум физически раздельным каналам, как это происходит почти во всех стандартах 
Есћегпеї, кроме коаксиальных версий Еегпек, ситуация становится не такой однозначной. 
Порт может работать как в обычном полудуплексном режиме, так и в дуплексном. 


В полудуплексном режиме работы порт коммутатора по-прежнему распознает коллизии. 
Доменом коллизий в этом случае является участок сети, включающий передатчик и при- 
емник коммутатора, передатчик и приемник сетевого адаптера компьютера, а также две 
витые пары, соединяющие передатчики с приемниками. Коллизия возникает, когда пере- 
датчики порта коммутатора и сетевого адаптера одновременно или почти одновременно 
начинают передачу своих кадров. 


В дуплексном режиме одновременная передача данных передатчиком порта коммутатора 
и сетевого адаптера коллизией не считается — этот режим работы может рассматриваться 
в качестве штатного для отдельных дуплексных каналов передачи данных, ранее ис- 
пользовавшегося в протоколах глобальных сетей. При дуплексной связи порты Еегпе 
стандарта 10 Мбит/с могут передавать данные со скоростью 20 Мбит/с — по 10 Мбит/с 
в каждом направлении. 


Долгое время коммутаторы Есћегпеѓ сосуществовали в локальных сетях с концентрато- 
рами Ећегпеї: на концентраторах строились нижние уровни сети здания (в частности, 
сети рабочих групп и отделов), а коммутаторы служили для объединения этих сегментов 
в общую сеть. Но постепенно коммутаторы стали применяться и на нижних этажах, вы- 
тесняя концентраторы, так как цены коммутаторов постоянно снижались, а их произ- 
водительность росла (за счет поддержки более скоростных версий технологии Еќћегпеї, 
то есть Еазё Еһегпеї со скоростью 100 Мбит/с, СлваБи Есћегпеѓ со скоростью 1 Гбит/с, 
10С Ећегпеї со скоростью 10 Гбит/с и 100С ЕФегпе со скоростью 100 Гбит/с — эти 
версии рассматриваются далее в разделе «Скоростные версии Ефегпе{»). Этот процесс 
завершился вытеснением концентраторов Еїћегпеї и переходом к полностью коммути- 
руемым сетям (рис. 10.15). 


В полностью коммутируемой сети ЕВегпе все порты работают в дуплексном режиме, 
а продвижение кадров осуществляется на основе МАС-адресов. 
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Рис. 10.15. Полностью коммутируемая сеть Еіћегпеї 


При разработке технологий Еа$ё Ефегпе и Сира Есһегпе дуплексный режим стал одним 
из двух полноправных стандартных режимов работы узлов сети. Однако практика при- 
менения первых коммутаторов с портами СлраБ и Е(һћегпеѓ показала, что они практически 
всегда применяются в дуплексном режиме для взаимодействия с другими коммутаторами 
или высокоскоростными сетевыми адаптерами. Поэтому при разработке версий стандартов 
10С и 100С ЕШегпее его разработчики не стали создавать версию для работы в полуду- 
плексном режиме, окончательно закрепив уход разделяемой среды из технологии Ећегпе. 


Неблокирующие коммутаторы 


Высокая производительность — одно из главных достоинств коммутаторов. С понятием 
производительности тесно связано понятие неблокирующего коммутатора. 


Коммутатор называют неблокирующим, если он может передавать кадры через свои порты 
стой же скоростью, с которой они на них поступают. 


Под коммутатором, способным поддерживать устойчивый неблокирующий режим работы, 
подразумевается коммутатор, передающий кадры со скоростью их поступления в течение 
произвольного промежутка времени. Для поддержания подобного режима нужно рас- 
пределить потоки кадров по выходным портам таким образом, чтобы, во-первых, порты 
справлялись с нагрузкой и, во-вторых, коммутатор мог всегда в среднем передать на 
выходы столько кадров, сколько их поступило на входы. Если же входной поток кадров 
(просуммированный по всем портам) в среднем будет превышать выходной поток кадров 
(также просуммированный по всем портам), то кадры будут накапливаться в буферной 
памяти коммутатора и при переполнении — просто отбрасываться. 


‚ Для поддержания устойчивого неблокирующего режима работы коммутатора необходимо, 
чтобы его производительность удовлетворяла условию Ск = (ХС)/2, где С, — производитель- 
ность коммутатора, Ср; — максимальная производительность протокола, поддерживаемого 
і-м портом коммутатора. 
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В этом соотношении под производительностью коммутатора в целом понимается его спо- 
собность продвигать на передатчики всех своих портов определенное количество кадров, 
принимаемых от приемников всех своих портов. В суммарной производительности портов 
каждый проходящий кадр учитывается дважды (как входящий и как выходящий), а так 
как в устойчивом режиме входной трафик равен выходному, то минимально достаточная 
производительность коммутатора для поддержки неблокирующего режима равна половине 
суммарной производительности портов. Так, если порт стандарта Е(ћегпеї со скоростью 
10 Мбит/с работает в полудуплексном режиме, то производительность порта С»; равна 
10 Мбит/с, аесли в дуплексном — то 20 Мбит/с. Иногда говорят, что коммутатор поддер- 
живает мгновенный неблокирующий режим. Это означает, что он может принимать и об- 
рабатывать кадры от всех своих портов на максимальной скорости протокола независимо 
от того, обеспечиваются ли условия устойчивого равновесия между входным и выходным 
трафиком. Но обработка некоторых кадров при этом может быть неполной — при занятости 
выходного порта кадр помещается в буфер коммутатора. 


Для поддержки мгновенного неблокирующего режима коммутатор должен обладать большей 
собственной производительностью, а именно — она должна быть равна суммарной произво- 
дительности его портов: С, = ХС. 


Приведенные соотношения справедливы для портов с любыми скоростями, то есть пор- 
тов стандартов Ећегпеѓ со скоростью 10 Мбит/с, Еаѕё Ећегпеї, Сівабіє Есћегпег, 10С 
и 100С ЕФегпе. 


Способы, которыми поддерживается способность коммутатора поддерживать неблоки- 
рующий режим, могут быть разными. Необходимым требованием является способность 
процессора порта обрабатывать потоки кадров с максимальной для физического уровня 
этого порта скоростью. Так, максимальная производительность порта Еегпей стандарта 
10 Мбит/с равна 14 880 кадров (минимальной длины) в секунду. Это означает, что про- 
цессоры портов Есһегпеѓ стандарта 10 Мбит/с неблокирующего коммутатора должны 
поддерживать продвижение кадров со скоростью 14 880 кадров в секунду. Как мы увидим 
дальше, более скоростные версии Еегпеѓ сохраняют формат кадра Еѓћегпеї, сокращая 
межкадровый интервал пропорционально увеличению битовой скорости версии (то есть 
в 10 раз при повышении скорости в 10 раз). Поэтому максимальные значения скорости про- 
движения кадров также растут пропорционально росту битовой скорости: например, Еаѕё 
Е{Бегпе{ обеспечивает максимальную скорость продвижения в 148 800 кадров в секунду, 
а Слраби Есһегпес — в 1 488 000 кадров в секунду. Соответственно, должна расти и скорость 
продвижения коммутатора Еїћегпеѓ с высокоскоростными портами. 


Однако только адекватной производительности процессоров портов недостаточно для того, 
чтобы коммутатор был неблокирующим. Необходимо, чтобы достаточной производитель- 
ностью обладали все элементы архитектуры коммутатора, включая центральный процес- 
сор, общую память, шины, соединяющие отдельные модули между собой, саму архитектуру 
коммутатора (наиболее распространенные архитектуры коммутаторов мы рассмотрим 
позже). В принципе, задача создания неблокирующего коммутатора аналогична задаче 
создания высокопроизводительного компьютера — и та и другая решаются комплексно: за 
счет соответствующей архитектуры объединения модулей в едином устройстве и адекват- 
ной производительности каждого отдельного модуля устройства. Для ускорения операций 
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коммутации сегодня во всех коммутаторах используются заказные специализированные 
БИС — АЗС (Арріісаёіоп-Ѕресійс Пцергае4 Сігсиії), которые оптимизированы для вы- 
полнения основных операций коммутации. Часто в одном коммутаторе имеется несколько 
специализированных БИС, каждая из которых выполняет функционально законченную 
часть операций. 


Важную роль в построении коммутаторов играют и программируемые микросхемы ЕРСА 
(Е1е]4-РговтаттаЫе Сае Аггау — программируемый в условиях эксплуатации массив вен- 
тилей). Эти микросхемы могут выполнять все функции, которые выполняют микросхемы 
АЗС, но, в отличие от последних, могут программироваться и перепрограммироваться 
производителями коммутаторов (и даже пользователями). Это свойство позволило резко 
удешевить процессоры портов коммутаторов, выполняющих сложные операции, например, 
профилирование трафика, так как производитель ЕРСА выпускает свои микросхемы мас- 
сово, а не по заказу того или иного производителя оборудования. Кроме того, применение 
микросхем ЕРСА позволяет производителям коммутаторов оперативно вносить изменения 
в логику работы порта при появлении новых стандартов или изменении действующих. 


В коммутаторах также применяются сетевые процессоры (ЖРО, М№еѓуогКк Ргосеѕѕог Оп). 
Этот тип процессоров имеет набор команд, ориентированных на обработку пакетов, обе- 
спечивая еще ббльшую гибкость, чем микросхемы ЕРСА. 


Помимо процессорных микросхем для успешной неблокирующей работы коммутатору 
нужно иметь быстродействующий узел обмена, предназначенный для передачи кадров 
между процессорными микросхемами портов. В настоящее время в коммутаторах узел 
обмена строится на основе одной из трех схем: 


О Коммутационная матрица. Такая матрица состоит из двоичных переключателей, ко- 
торые выполняют коммутацию канала между парой портов на время передачи данных 
пакета. Это наиболее простое решение, но работает оно только в случае фиксированного 
количества портов коммутатора: добавление портов требует изменения организации 
матрицы. 


О Общая шина. Это наиболее традиционный и гибкий метод объединения модулей вычис- 
лительного устройства, широко применяемый в компьютерах (шина РС] настольных 
компьютеров является наиболее известным примером). 


О Разделяемая многовходовая память. В памяти для каждого порта организуется отдель- 
ная очередь пакетов. Любой порт может поместить пришедший пакет в эту очередь, 
а порт, для которого очередь предназначена, выбирает из нее пакеты и передает в сеть. 
Для поддержания нужной скорости работы коммутатора разделяемая память должна 
обладать высоким быстродействием. 


Иногда эти схемы комбинируются в одном коммутаторе, например, коммутационная ма- 
трица, обслуживающая определенное количество портов, и общая шина, обеспечивающая 
взаимодействие между группами портов, обслуживаемых разными коммутационными 
матрицами. 


ПО коммутаторов, реализующее алгоритм прозрачного моста и обеспечивающее его 
конфигурирование и управление, долгое время оставалось фирменным, так что админи- 
страторам сетей приходилось приобретать новые навыки при переходе на оборудование 
другого производителя. Однако в последнее время усиливается другая тенденция — все 
большую популярность завоевывают открытые коммутаторы, называемые в англоязыч- 
ном мире Ваге Мева| ѕуіісһеѕ или \Вке Вох з\ срез. В таких коммутаторах аппарат- 
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ная часть отделена от программной, причем в качестве последней используется одна из 
сетевых ОС с открытым исходным кодом, чаще всего — одна из специализированных 
для сетевых операций версий Ошх/Гпих. В случае «голого железа», то есть комму- 
татора типа Ваге Меќѓа], вы приобретаете коммутатор без предустановленной ОС, но 
с уже установленным ее загрузчиком. Загрузчик ОС у такого коммутатора работает по 
открытому стандарту ОМТЕ (Ореп Мебмогк шуаЙ Епугоптеп®), которого придержива- 
ются разработчики открытых сетевых систем, что позволяет установить на коммутатор 
любую из имеющихся ОС. Коммутаторы типа \/ВКе Вох имеют ту же архитектуру, что 
и коммутаторы Ваге Меа|, но продаются с уже установленной открытой ОС, так что 
потребитель может сразу же включить коммутатор и начать его конфигурировать без 
необходимости проходить через этап установки сетевой ОС (в последующем он может 
заменить установленную ОС на другую). 


Скоростные версии Ећегпеї 


Скорость 10 Мбит/с первой стандартной версии Есһегпеё долгое время удовлетворяла 
потребности пользователей локальных сетей. Однако в начале 90-х стала ощущаться недо- 
статочная пропускная способность Еегпек, так как скорость обмена с сетью стала суще- 
ственно меньше скорости внутренней шины компьютера. Кроме того, начали появляться 
новые мультимедийные приложения, гораздо более требовательные к скорости сети, чем 
их текстовые предшественники. В поисках решения проблемы ведущие производители 
сетевого оборудования начали интенсивные работы по повышению скорости Есегпе 
при сохранении главного достоинства этой технологии — простоты и невысокой стоимо- 
сти оборудования. Результатом стало появление новых скоростных стандартов Е(ћегпеќ: 
Рау Еегпеѓ (скорость 100 Мбит/с), СіваЬ Еегпеѓ (1000 Мбит/с, или 1 Гбит/с), 10С 
Е егпе (10 Гбит/с), 100С Еегпек, 200С Еегпеї (200 Гбит/с) и 400С Еїћегпеї. 


Разработчикам новых скоростных стандартов Еїћегпеї удалось сохранить основные 
черты классической технологии Ефегпе и прежде всего простой способ обмена кадрами 
без встраивания в технологию сложных контрольных процедур. Этот фактор оказался 
решающим в соревновании технологий локальных сетей, так как выбор пользователей 
всегда склонялся в сторону простого наращивания скорости сети, а не в сторону решений, 
связанных с более эффективным расходованием той же самой пропускной способности 
с помощью более сложной и дорогой технологии. 


Значительный вклад в «победу» ЕВегпе внесли также коммутаторы локальных сетей, так 
как их успех привел к отказу от разделяемой среды, где технология Ебћегпеї всегда была 
уязвимой из-за случайного характера метода доступа. Начиная с версии 10С ЕФегпее раз- 
работчики перестали обеспечивать обратную совместимость с предыдущими вариантами 
и отказались от поддержки разделяемой среды. Повышение скорости работы Е{фегпе( было 
достигнуто за счет нескольких факторов: 


О улучшение качества кабелей, применяемых в компьютерных сетях; 
Ц совершенствование методов кодирования данных; 
О использование параллельных потоков данных. 


Все отличия скоростных версий Есћегпеї от классической версии 10М Есћегпеѓ прояв- 
ляются на физическом уровне (рис. 10.16). Уровни МАС и С в Еа$ Еегпе{ остались 
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абсолютно теми же, и их описывают прежние главы стандартов 802.3 и 802.2. Поэтому, 
рассматривая очередную версию технологии Еїћегпеѓ, будем изучать только вариант ор- 
ганизации ее физического уровня. 


Уровни 
10М Еіћегпеї 


2 

т 

Ф 

0 

а Подуровень Подуровень 
= ЦС (802.2) ЦС (802.2) 

2 

5 Подуровень Подуровень 
С доступа к среде доступа к среде 
9 МАС (802.3) 


МАС (802.3) 


Уровни скоростных 
версий Е{ћегпеї 


Интерфейс АЦ! 


Согласование 
ина В$) 
ПН кодирования | 

(Рћуѕіса! Содтд ЅиЫауег, РСЅ) 
Подуровень физического присоединения 
(РҺуѕіса! Медит Аќасһтепі, РМА) 

Подуровень, зависимый от физической 
среды (Рһуѕісаі Ш Оерепаепї, РМО) 


Подуровень физического 
присоединения 
(Рһуѕісаі Медит 
Аќасһтепї, РМА) 


Зависящий от среды интерфейс Зависящий от среды интерфейс 
(Медіа Оерепаег{ |щейасе, МО!) (Медіа Оерепаепї \епПасе, МО!) 


Физический уровень 


Рис. 10.16. Структура физического уровня версии 10М Еїћегпеї и скоростных версий Еїћегпеї 


Организация физического уровня скоростных версий Еегпеѓ является модульной. 
Модульность обеспечивает гибкость физического уровня Есћегпеѓ, когда путем замены 
некоторого модуля можно обеспечить поддержку различных методов кодирования данных 
или различных сред распространения сигнала. Физический уровень Еаѕє Есћегпеє состоит 
из следующих модулей: 


О Независимый от среды интерфейс (х Ме а ша4ереп4епе Іһѓегѓасе, хМП). Этот интер- 
фейс поддерживает независимый от физической среды способ обмена данными между 
подуровнями МАС и РНУ. Обзначение «х» отражает тот факт, что для различных ско- 
ростей передачи данных этот интерфейс имеет свою специфику, например, для скорости 
1 Гбит/с применяется интерфейс СМП, а для скорости 10 Гбит/с — интерфейс ХСМП. 


О Модуль согласования (КесопсШайоп) нужен для того, чтобы уровень МАС, рассчи- 
танный ранее на интерфейс АПТ, мог работать с физическим уровнем через интер- 
фейс хХМП. 


О Устройство физического уровня (РћуѕісаІ Гауег Оемсе, РНУ) состоит, в свою очередь, 
из нескольких подуровней: 


О подуровень кодирования данных (Рһуѕіса! Сойіпе ЗиЫауег, РС$), преобразующего 


поступающие от уровня МАС байты в символы логического кода, например 4В/5В 
или 64В/66В; 
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О подуровень физического присоединения (Рһуѕіса! Ме фа Аїќасһтепѓ, РМА) и зави- 
симости от физической среды (Рһуѕіса! Медіа Оерепаепе, РМО), которые обеспечи- 


вают формирование сигналов в соответствии с методом физического кодирования, 
например МК/Т, РАМ5 или РАМА. 


Одной из функций подуровня кодирования данных РС является функция автоперего- 
воров. 


Функция автопереговоров позволяет двум физически соединенным устройствам, поддер- 
живающим несколько стандартов физического уровня, отличающихся битовой скоростью, 
согласовать наиболее выгодный режим работы. Обычно процедура автопереговоров происхо- 
дит при подсоединении сетевого адаптера компьютера к порту коммутатора или маршрутиза- 
тора в том случае, когда оба устройства могут работать на нескольких скоростях — например, 
на скоростях 100 Мбит/с, 1000 Мбит/с и 10 Гбит/с. Режим с более высокой скоростью имеет 
более высокий приоритет. Если некоторый режим может работать как в полудуплексном, 
так и в полнодуплексном вариантах (это относится к скоростям менее 10 Гбит/с), то полно- 
дуплексный режим имеет более высокий приоритет по сравнению с полудуплексным. 


Переговорный процесс происходит при включении питания устройства, а также может 
быть инициирован в любой момент модулем управления устройства. Устройство, начавшее 
процесс автопереговоров, посылает своему партнеру пачку специальных импульсов ЕЪР 
(Разе [лак Риѕе), содержащих 8-битное слово, кодирующее предлагаемый режим взаимо- 
действия, начиная с самого приоритетного, поддерживаемого данным узлом. Импульсы 
ЕР имеют длительность 100 нс, как и импульсы ШТ, используемые для тестирования 
целостности физического соединения в стандарте 10Ваѕе-Т, но вместо передачи одного 
импульса ЦТ через каждые 16 мс здесь через тот же интервал передается пачка импульсов 
ЕІР Если узел-партнер имеет функцию автопереговоров и также способен поддерживать 
предложенный режим, то отвечает пачкой импульсов ЕЁР, подтверждающей этот режим, 
и на этом переговоры заканчиваются. Если узел-партнер не может поддерживать запро- 
шенный режим, то указывает в своем ответе имеющийся в его распоряжении следующий 
по степени приоритетности режим, и этот режим выбирается в качестве рабочего. 


Ғаѕї Ећегпеї 


Спецификация Еаѕі Ећегпеє была первой из серии спецификации скоростных версий 
Еегпеѓ, поэтому она удостоилась названия «быстрой» (Еаѕі). Разработчикам технологии 
Ғаѕє Ећегпеѓ удалось обеспечить ее преемственность с классической технологией Е(ћегпеѓ 
10 Мбит/с. Еаѕі Есћегпеѓ поддерживает три варианта физической среды: 


Ц волоконно-оптический многомодовый кабель (два волокна); 
О витая пара категории 5 (две пары); 
О витая пара категории З (четыре пары). 


Заметим, что коаксиальный кабель, давший миру первую сеть Е{Бегпеф, в число разрешен- 
ных сред передачи данных технологии Еаѕё Ефегпе{ не попал. 


Официальный стандарт 802.3 установил три различных спецификации для физического 
уровня Еаѕё Ефегпе и дал им следующие названия: 


О 100Ваѕе-ТХ — для двухпарного кабеля на неэкранированной витой паре ОТР катего- 
рии 5; 
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О 100Ваѕе-Т4 — для четырехпарного кабеля на неэкранированной витой паре ОТР ка- 
тегории 3, 4 или 5; 


О 100Ваѕе-ЕХ — для многомодового оптоволоконного кабеля с двумя волокнами. 


Для всех трех стандартов справедливы перечисленные Далее утверждения и характери- 
СТИКИ. 


Форматы кадров технологии Еаѕї Ећегпеї не отличаются от форматов кадров технологий Ећегпеї 
10 Мбит/с. 


Межкадровый интервал равен 0,96 мкс, а битовый интервал — 10 нс. Все временные параметры 
алгоритма доступа (интервал отсрочки, время передачи кадра минимальной длины ит. п.), из- 
меренные в битовых интервалах, остались прежними. 


Признаком свободного состояния среды является передача по ней символа простоя источни- 
ка — соответствующего избыточного кода (а не отсутствие сигналов, как в стандартах Ећегпеї 
10 Мбит/с). 


Версия 100Вазе-Т4 носила промежуточный характер, так как позволяла повысить скорость 
классического варианта ЕФегпей в 10 раз, не меняя кабельную систему здания. Так как 
большинство предприятий и организаций достаточно быстро заменили кабели категории 3 
кабелями категории 5, то необходимость в версии 100Вазе-Т4 отпала, после чего обору- 
дование с таким портами перестало выпускаться, в связи с чем далее рассмотрены детали 
только спецификаций 100Ваѕе-ЕХ и 100Вазе-ТХ. 


Спецификация 100Ваѕе-ЕХ определяет работу протокола Еаѕі Еёћегпеѓ по многомодо- 
вому оптоволокну в полудуплексном и дуплексном режимах. Подуровень кодирования 
100Вазе-ЕХ преобразует байты, получаемые от уровня МАС, в избыточные коды 4В/5В 
(см. главу 7). В качестве физического метода кодирования используется код МКЛ (<«свет- 
темнота»). Существование запрещенных комбинаций символов позволяет отбраковывать 
ошибочные символы, что повышает устойчивость работы сетей 100Вазе-ЕХ/ТХ. Так, в Еа$ 
Е Вегпее признаком того, что среда свободна, стала повторяющаяся передача одного из 
запрещенных для кодирования пользовательских данных символа, а именно символа про- 
стоя источника [4[е (11111). Такой способ позволяет приемнику всегда находиться в син- 
хронизме с передатчиком. Для отделения кадра Ебћегпеѓ от символов простоя источника 
используется комбинация символов начального ограничителя кадра — пара символов / 
(11000) и К (10001) кода 4В/5В, а после завершения кадра перед первым символом про- 
стоя источника вставляется символ Т (рис. 10.17). 


Первый байт преамбулы ЈК — ограничитель начала потока значащих символов 
Т — ограничитель конца потока значащих символов 


Рис. 10.17. Непрерывный поток данных спецификаций 100Ва$е-ЕХ/ТХ 
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После преобразования 4-битных порций кодов МАС в 5-битные порции физического уров- 
ня их необходимо представить в виде оптических или электрических сигналов в кабеле, 
соединяющем узлы сети. 


В спецификации 100Ваѕе-ТХ в качестве среды передачи данных используется витая пара 
ОТР категории 5. Как и в спецификации 100Ваѕе-ЕХ, здесь применяется избыточный код 
4В/ЭВ, а для физического кодирования — код МГТ-3 с тремя состояниями электрического 
сигнала (один из вариантов кода МК/.). Основным отличием от спецификации 100Вазе-ЕХ 
является наличие схемы автопереговоров для выбора режима работы порта. 


Сідабиї Епете 


Уже вскоре после появления на рынке продуктов Еаѕі Есћегпеѓ сетевые интеграторы 
и администраторы при построении корпоративных сетей почувствовали определенные 
ограничения. Во многих случаях серверы, подключенные по 100-мегабитному каналу, 
перегружали магистрали сетей, также работающие на скорости 100 Мбит/с — магистрали 
ЕООГи Еаѕё ЕВегпе. Ощущалась потребность в следующем уровне иерархии скоростей. 
Стандарт Ећегпеќ с битовой скоростью 1000 Мбит/с, получивший название СлваБи 
Есћегпег, был принят в 1998 году. 


Проблемы совместимости 


Основная идея разработчиков стандарта СіваЬє Есћегпе состояла в максимальном со- 


хранении идей классической технологии Еегпеѓ при достижении битовой скорости 
в 1000 Мбит/с. 


В результате дебатов были приняты следующие решения: 


О сохраняются все форматы кадров Ећегпеї; 


О по-прежнему существует полудуплексная версия протокола, поддерживающая метод доступа 
СЗМА/СО; 


О поддерживаются все основные виды кабелей, используемых в Епете и Раѕї Епегпе\, в том 
числе волоконно-оптический кабель, витая пара категории 5, экранированная витая пара. 


Несмотря на то что в Сівабіє Ећегпеѓ не стали встраивать новые функции, поддержание 
даже достаточно простых функций классического стандарта Е{фегпе на скорости 1 Гбит/с 
потребовало решения нескольких сложных задач. 


О Обеспечение приемлемого диаметра сети для работы на разделяемой среде. В связи 
с ограничениями, накладываемыми методом СЗМА/СО на длину кабеля, версия 
СіваЬіє Есћегпег для разделяемой среды допускала бы длину сегмента всего в 25 м при 
сохранении размера кадров и всех параметров метода С5МА/СР неизменными. Так 
как существует большое количество применений, требующих диаметра сети 100 м, не- 
обходимо было каким-то образом решить эту задачу за счет минимальных изменений 
в технологии Ғаѕі Е{Тегпей. 


О Достижение битовой скорости 1000 Мбит/с на оптическом кабеле. Технология Е ге 
Сћаппе], физический уровень которой был взят за основу оптоволоконной версии 
Слрари Есегпеѓ, обеспечивала скорость передачи данных всего в 800 Мбит/с. 
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О Использование в качестве кабеля витой пары. Такая задача на первый взгляд кажется 
неразрешимой — ведь даже для 100-мегабитных протоколов требуются достаточно 
сложные методы кодирования, чтобы уложить спектр сигнала в полосу пропускания 
кабеля. 


Для решения этих задач разработчикам технологии Слраби Еегпе пришлось внести из- 


менения не только в физический уровень, как это было в случае Еаѕѓ Ефегпе, но и в уро- 
вень МАС. 


Средства обеспечения диаметра сети в 200 м 
на разделяемой среде 


Для расширения максимального диаметра сети СіваЬіє ЕФегпе до 200 м в полудуплексном 
режиме разработчики технологии предприняли достаточно естественные меры, в основе 
которых лежало известное соотношение времени передачи кадра минимальной длины 
и времени оборота (РОУ). Минимальный размер кадра был увеличен (без учета преам- 
булы) с 64 до 512 байт, или до 4096 бит. Соответственно время оборота увеличилось до 
4095 битовых интервалов, что при использовании одного повторителя сделало допустимым 
диаметр сети около 200 м. 


Для увеличения длины кадра до величины, требуемой в новой технологии, сетевой адаптер 
должен дополнить поле данных до длины 448 байт так называемым расширением, пред- 
ставляющим собой поле, заполненное нулями. Формально минимальный размер кадра 
не изменился (64 байт или 512 бит), и объясняется это тем, что поле расширения поме- 
щается после поля контрольной суммы кадра (ЕС5). Соответственно значение этого поля 
не включается в контрольную сумму и не учитывается при указании длины поля данных 
в поле длины. Поле расширения является просто расширением сигнала несущей частоты, 
необходимым для корректного обнаружения коллизий. 


Для сокращения накладных расходов в случае использования слишком длинных кадров 
при передаче коротких квитанций разработчики стандарта разрешили конечным узлам 
передавать несколько кадров подряд без возвращения среды другим станциям. Такой ре- 
жим получил название режима пульсаций. Станция может передать подряд несколько 
кадров с общей длиной не более 65 536 бит, или 8192 байт. При передаче нескольких 
небольших кадров станции можно не дополнять первый кадр до размера в 512 байт за 
счет поля расширения, а передавать несколько кадров подряд до исчерпания предела 
в 8192 байт (в этот предел входят все байты кадра, в том числе преамбула, заголовок, 
данные и контрольная сумма). Предел 8192 байт называется длиной пульсации. Если 
предел длины пульсации достигается в середине кадра, то кадр разрешается передать до 
конца. Увеличение «совмещенного» кадра до 8192 байт несколько задерживает доступ 
к разделяемой среде других станций, но при скорости 1000 Мбит/с эта задержка не столь 
существенна. 


Спецификации физической среды стандарта 

Сдан Ећегпеї 

В стандарте Сівађі ЕБегпе определены следующие типы физической среды: 
О одномодовый волоконно-оптический кабель; 


О многомодовый волоконно-оптический кабель 62,5/125; 
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О многомодовый волоконно-оптический кабель 50/125; 
О экранированный сбалансированный медный кабель. 


Спецификация 1000Вазе-[.Х (1. означает опр Мауејепеіћ — длинная волна) работает 
с оптическим сигналом в окне 1300 нм: при использовании одномодового волокна длина 
кабеля может достигать 5 км, а многомодового — 550 м. Спецификации 1000Ваѕе-5Х 
(5 означает Ѕћогг \/ауееп? — короткая длина волны) использует сигнал в окне 850 нм 
и работает только на многомодовом волокне длиной до 220-550 м в зависимости от тол- 
щины сердечника волокна. 


В спецификациях 1000Вазе-5Х и 1000Вазе-Г.Х подуровень кодирования преобразует байты 
уровня МАС в коды 8В/10В (а не 4В/5В, как в стандарте Еаѕі Е(ћегпеї). 


С!даьи Еіћегпеї на витой паре категории 5 


Как известно, каждая пара кабеля категории 5 имеет гарантированную полосу пропускания 
до 100 МІЦ. Организовать передачу по такому кабелю данных со скоростью 1000 Мбит/с 
очень трудно, так как применяемые в локальных сетях методы кодирования имеют на такой 
тактовой частоте спектр с шириной, намного превышающей 100 МГц. В качестве решения 
было предложено организовать параллельную передачу данных одновременно по всем 
четырем парам кабеля. Это сразу снизило скорость передачи данных по каждой паре до 
250 Мбит/с. Однако и для такой скорости необходимо было придумать метод кодирования 
со спектром, не превышающим 100 МГц. Усложняло задачу и то обстоятельство, что стан- 
дарт Сіваріє Ефегпе должен поддерживать не только полудуплексный, но и дуплексный 
режим. На первый взгляд кажется, что одновременное использование четырех пар лишает 
сеть возможности работы в дуплексном режиме, так как не остается свободных пар для 
одновременной передачи данных в двух направлениях — от узла и к узлу. Тем не менее 
группа 802.Заб нашла решения обеих проблем. 


Для физического кодирования данных был применен код РАМ5 с пятью уровнями по- 
тенциала: –2, -1, 0, +1, +2. В этом случае за один такт по одной паре передается 2,322 бит 
информации (10525). Следовательно, для достижения скорости 250 Мбит/с тактовую 
частоту 250 МГц можно уменьшить в 2,322 раза. Разработчики стандарта решили исполь- 
зовать несколько более высокую частоту, а именно 125 МГц. При этой тактовой частоте 
код РАМ5 имеет спектр уже, чем 100 МГц, то есть он может быть передан без искажений 
по кабелю категории 5. В каждом такте передается не 2,322 х 4 = 9,288 бит информации, 
а 8. Это и дает искомую суммарную скорость 1000 Мбит/с. Передача ровно восьми битов 
в каждом такте достигается за счет того, что подуровень кодирования РС$ преобразует 
байты, получаемые от уровня МАС через интерфейс СМП, в логический код 40-РАМ5, 
который состоит из 4 символов, каждый их которых имеет 5 состояний (5 состояний сим- 
вола соответствует 5 состояниям физического кода РАМ5). Отметим, что при кодировании 
информации используются не все 625 (54 = 625) комбинаций кода РАМ5, а только 256 
(28 = 256) — оставшиеся приемник задействует для контроля принимаемой информации 
и выделения правильных комбинаций на фоне шума. 


Для организации дуплексного режима разработчики спецификации 802.3аЪ применили 
технику выделения принимаемого сигнала из суммарного. Два передатчика работают 
навстречу друг другу по каждой из четырех пар в одном и том же диапазоне частот. Для 
отделения принимаемого сигнала от собственного приемник вычитает из резульгирую- 
щего сигнала известный ему свой сигнал. Естественно, это непростая операция — для ее 
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выполнения используются специальные процессоры цифровой обработки сигнала (Піріса! 
ЅірпаІ Ргосеззог, ОР). 


Существуют и другие спецификации физической среды для СлраБи Есһегпег. 


10@ Еіһегпеї 


Стандарт 106 Еіћегпеї определяет только дуплексный режим работы, поэтому он используется 
исключительно в коммутируемых локальных сетях. 


Формально этот стандарт имеет обозначение ТЕЕЕ 802.3ае и является дополнением к ос- 
новному тексту стандарта 802.3. Формат кадра остался неизменным, при этом расширение 
кадра, введенное в стандарте СіваЬ Есћегпеѓ, не используется, так как нет необходимости 
обеспечивать распознавание коллизий. 


Стандарт 802.3ае, принятый в 2002 году, описывает несколько новых спецификаций фи- 
зического уровня, взаимодействующих с уровнем МАС через новый интерфейс ХСМП 
(еХгепаеа Сівађіє Мейіит Іпаерепдепі Іпќегѓасе — расширенный интерфейс независимого 
доступа к гигабитной среде). Интерфейс ХСМИ предусматривает параллельный обмен 
четырьмя байтами, образующими четыре потока данных. Как видим, идея распараллели- 
вания потоков данных, хорошо зарекомендовавшая себя в предыдущих версиях Еёћегпеѓ 
как средство снижения требований к полосе пропускания отдельного канала, здесь нашла 
отражение в структуре интерфейса между уровнем МАС и физическим уровнем. Нали- 
чие четырех независимых потоков на входе физического уровня упрощает организацию 
параллельных потоков данных в приемопередатчиках Ећегпегс. Стандарт 106 Есегпеї 
определяет три группы физических интерфейсов: 


О 10СВаѕе-Х; 
О 10СВаѕе-К4; 
О 10СВаѕе-У/. 


Они отличаются способом логического кодирования данных: в варианте 10Ваѕе-Х при- 
меняется код 8В/1ОВ, в остальных двух — код 64В/66В. Для передачи данных все они 
используют оптическую среду. 


Группа 10С Вазе-Х в настоящее время состоит из одного интерфейса подуровня РМО -- 
10СВазе-[.Х4. Буква І. говорит о том, что информация передается с помощью волн второго 
диапазона прозрачности, то есть 1310 нм. Информация в каждом направлении передается 
одновременно с помощью четырех волн (что отражает цифра 4 в названии интерфейса), 
мультиплексируемых на основе техники С\/ОМ. Каждый из четырех потоков интерфейса 
ХСМІ передается в оптическом волокне со скоростью 2,5 Гбит/с. Максимальное рас- 
‹ гояние между передатчиком и приемником стандарта 10СВаѕе-.Х4 на многомодовом 
волокне равно 200-300 м (в зависимости от полосы пропускания волокна), на одномодо- 
вом — 10 км. 


В каждой из групп 10СВаѕе-К и 10СВазе-\/ может быть три варианта подуровня РМР: 
У, Си Е взависимости от используемого для передачи информации диапазона волн — 850, 
1310 или 1550 нм соответственно. Таким образом, существуют интерфейсы 10СВаѕе- 
©К, 10СВазе-Г.К и 10СВазе-ЕК, а также 10СВаѕе-5У, 10СВазе-1М/, 10СВаѕе-ЕМ. Каж- 
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дый из них передает информацию с помощью одной волны соответствующего диапазо- 
на. Спецификации 10СВазе-К обеспечивают эффективную скорость передачи данных 
в 10 Гбит/с — для этого битовая скорость оборудования равна 10,3125 Гбит/с (увеличение 
битовой скорости необходимо для компенсации избыточности кода 64В/66В). 


В отличие от 10СВаѕе-К физические интерфейсы группы 10СВаѕе-№ обеспечивают 
скорость передачи и формат данных, совместимые с интерфейсом ОТМ Ор 02. Пропуск- 
ная способность интерфейсов группы № равна 9,95328 Гбит/с, а эффективная скорость 
передачи данных — 9,58464 Гбит/с (часть пропускной способности тратится на заголовки 
кадров ОТМ№). Из-за того, что скорость передачи информации у этой группы интерфейсов 
ниже, чем 10 Гбит/с, они могут взаимодействовать только между собой, то есть соеди- 
нение, например, интерфейсов 10СВазе-Г.К и 10Вазе-[М/ невозможно. В 2006 году была 
принята спецификация 10СВаѕе-Т, позволяющая использовать знакомые администрато- 
рам локальных сетей кабели на витой паре. Правда, обязательным требованием является 
применение кабелей категории 6 или ба: в первом случае максимальная длина кабеля не 
должна превышать 55 м, во втором — 100 м. Стандарт 10С Е\фегпее развивается за счет 
пополнения его семейства физических интерфейсов новыми спецификациями, например, 
спецификацией 10СВаѕе-КХ4, предназначенной для работы по четырем проводникам 
шасси сетевых устройств. 


100С и 406 Ећегпеї 


Скорость в 10 Гбит/с является довольно высокой скоростью передачи данных, доста- 
точной для многих приложений, например, для телевидения высокого разрешения, но 
и она по прошествии нескольких лет перестала удовлетворять потребности постоянно 
растущего трафика Интернета и новых приложений. В 2006 году рабочая группа ІЕЕЕ 
802.3 образовала группу по изучению высокоскоростного варианта Ећегпеќ (Н12В Ѕрееа 
иду Стоир, НЅ$5С). Анализ ситуации показал, что целесообразно стандартизировать две 
новые скорости Ећегпеѓ — 40 и 100 Гбит/с. Первая скорость предназначалась для серверов, 
вторая — для интерфейсов коммутаторов и маршрутизаторов, работающих на магистра- 
лях сетей и агрегирующих потоки данных многих приложений. В результате в 2008 году 
была создана целевая группа 802.3Ба, которая и предложила соответствующий вариант 
стандарта Е(ћегпеѓ, впервые описывающего упомянутые две скорости передачи данных. 
Этот стандарт вошел в общий стандарт 802.3-2012 как одна из частей (наряду с частями, 
описывающими остальные скорости Есегпеї). Архитектура стандарта 802.ЗБа обобщает 
подход, использованный в технологии 10С Есћегпеї, а именно — распараллеливание обще- 
го потока данных от уровня МАС на несколько потоков, что позволяет снизить битовую 
скорость каждого из параллельных потоков, тем самым упрощая реализацию высокоско- 
ростного приемопередатчика. 


В стандарте 802.ЗБа распараллеливание применяется на двух этапах передачи данных 
от уровня МАС к уровню физического интерфейса (Рћуѕіса! Медіа Ререпӣепсе, РМО). 
Сначала уровень согласования распараллеливает общий последовательный поток данных, 
поступающий от уровня МАС, на 8 потоков, параллельно поступающих на подуровень 
физического кодирования РС$ через интерфейс ХЕСМИ (для скорости 40 Гбит/с, бук- 
вы ХІ. означают римское число 40) или интерфейс ССМП (для скорости 100 Гбит/с, от 
С — римское число 100). Подуровень РСЗ выполняет кодирование данных, поступающих 
по 8 потокам, в соответствии с кодировкой 64В /66В (общая для всех вариантов физиче- 
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ского интерфейса), направляя их четырьмя (для скорости 40 Гбит/с) или двадцатью (для 
скорости 100 Гбит/с) потоками на подуровни РМА и РМ, реализуемые, как правило, 
отдельным модулем — приемопередатчиком (трансивером). В подуровнях РМА/РМО 
потоки могут группироваться в один или несколько каналов, передаваемых отдельными 
волнами (если применяется мультиплексирование МУРОМ) или отдельными медными про- 
водниками. Выбор двадцати потоков не случаен — он обеспечивает высокую гибкость для 
спецификаций физической среды, так как дает возможность сформировать 1, 2, 4, 5, 10 или 
20 независимых физических каналов. Рисунок 10.18 иллюстрирует работу подуровня РСЅ 
по распараллеливанию данных по потокам. 


рми] рп + [9+ 11 [м] Поток 1 


[м2 ] +2 [п+2][_2 [м2] Поток 2 


Агрегированный поток байтов МАС-уровня 


Циклическое 
распределение 
66-битных слов 


кода 648/66В 7 Поток п 


Маркеры потока 


Рис. 10.18. Распределение данных подуровнем РС$ по потокам 


Шестидесятишестибитные слова кода 64В /66В циклически распределяются между по- 
токами данных. После каждых 16 384 слов в поток помещается специальный код маркера 
потока, который помогает подуровню РСЗ приемника правильно демультиплексировать 
потоки в общий поток. Для сохранения синхронности потока для вставки кода маркера из 
потока периодически удаляются коды межкадрового интервала (ТРОС). 


Для 100 Сівабі Есћегпеѓ рабочей группой ІЕЕЕ 802.3 разработаны различные стандарты 
физического уровня (некоторые из них приведены в табл. 10.1). 


Таблица 10.1. Стандарты физического уровня для технологии 100 Сбідабії ЕПегпе{ 


Гарантированное расстояние и тип среды 40 СлрабЕ Еќһегпеё | 100 Сіра Есһегпеё 
100СВаѕе-СК10 


> 100 м ОМЗ! ММЕ 40СВаѕе-5К4 100СВаѕе-5К10 
> 150 м ОМ4 ММЕ 40СВаѕе-$5К4 100СВаѕе-5К4 


1 ОМЗ и ОМА — типы многомодового оптического волокна (оптимизированного), отличающиеся 
характеристиками передачи сигнала волны 850 нм. 
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р 
Гарантированное расстояние и тип среды 40 Сіра Еһегпеё 


> 10 км ЗМЕ 40СВазе-[.К4 
40СВазе-ЕК 


40СВазе-Т 


100С Ваѕе-ЕК4 


По назначению они делятся на стандарты, предназначенные для работы в пределах шасси 
одного устройства (стандарты КК), для соединения устройств в пределах одной или не- 
скольких стоек (СВ и Т), одного здания (ЗК и ЕВ) или же для создания глобальных соеди- 
нений между различными центрами данных (ІК и ЕК). Почти все варианты физического 
уровня 100СЕ обеспечивают необходимую суммарную битовую скорость за счет исполь- 
зования нескольких параллельных потоков данных — как видно из таблицы, четырех или 
десяти. Эти параллельные потоки образуются либо отдельными проводниками (печатными 
проводниками для вариантов КК, витыми парами для варианта Т, парами твинаксиального 
кабеля для вариантов СК или же парами оптических волокон для варианта 5К), либо от- 
дельными волнами технологии С\/ОМ в вариантах Г.К и ЕК. 


Во всех вариантах физического уровня 100С Ећегпеѓ использует модуляцию МКЛ с двумя 
состояниями сигнала и скремблирование для устранения эффекта длинной последователь- 
ности нулей в коде 64В/66В. При применении 10 потоков скорость отдельного потока 
составляет 10 Гбит/с, а при применении четырех — 25 Гбит/с. 


400С, 200С и 50С Еіһегпеї 


Довольно скоро после принятия стандарта 40С Есћегпеї сетевые адаптеры этой скорости 
стали активно применяться в серверах центров обработки данных, а это означало, что нуж- 
но пропорционально увеличить скорость интерфейсов магистральных маршрутизаторов 
Интернета, чтобы магистрали продолжали справляться со все возрастающим объемом 
трафика. Стоимость сетевых адаптеров 100С Еќћегпеѓ для серверов также постоянно сни- 
жалась, делая дисбаланс скоростей между клиентами и магистралями Интернета все более 
очевидным, а потребность в стандартизации очередной более высокой скорости Есћегпеѓ 
более настоятельной. Рабочая группа ІЕЕЕ по изучению потребностей в новой скоростной 
версии Ећегпеѓ была образована в 2011 году, а по результатам ее работы было решено на- 
чать разрабатывать стандарты Есћегпеї для двух скоростей — 200 и 400 Гбит/с в рамках 
рабочей группы ІЕЕЕ 802.3. Стандарт ІЕЕЕ 802. был ратифицирован в конце 2017 года, 
определив спецификации нескольких вариантов физического уровня для скоростей 200 
и 400 Гбит/с. В то же время работы по стандартизации более широкого спектра физических 
уровней этих скоростей продолжаются в рамках других рабочих групп. Стандарты 200С 
и 400С Есһегпеї базируются на подходе, примененном в стандарте 100С Есћегпеї -- рас- 
параллеливании данных на несколько потоков, передаваемых по отдельным физическим 
проводникам: электрическим или оптическим. Отличие — в том, что теперь скорость каж- 
дого потока повышена до 50 Гбит/с. Для повышения битовой скорости потока применено 
два приема: кодирование РАМИ с четырьмя состояниями электрического (оптического) 
сигнала либо добавление кодов ЕЕС к потоку битов данных. Отметим, кодирование РАМА 
дает выигрыш в скорости по сравнению с кодированием МКЛ в два раза, так как за один 
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такг передается два бита информации (этот вид кодирования рассмотрен при изучении 
варианта СіваБбіє Есһегпеѓ на витой паре, где применяется код РАМ5). 


Переход на метод кодирования с большим числом состояний был очень желателен для 
достижения скорости 400 Гбит/с, так как при кодировании МК7 максимально достижи- 
мая битовая скорость — около 25 Гбит/с — ограничена пределом: тактовой скоростью 
в 25-30 Гбод современных электронных схем. Применение кодирования МК1 привело бы 
к необходимости использования 16 параллельных «дорожек» передачи информации (оп- 
тических волокон или волн) со скоростью по 25 Гбит/с для одного направления скорости 
400 Гбит/с, то есть к необходимости производства кабелей локальных сетей с 32 оптически- 
ми волокнами. Такой вариант кабеля возможен, но это не очень масштабируемое решение, 
если считать, что требования к скорости будут повышаться и в дальнейшем. Переход на 
новый метод кодирования с ббльшим количеством состояний сигнала был признан более 
перспективным. Но, как мы знаем, при повышении числа состояний сигнала увеличивается 
число отношений «сигнал — шум» в линии связи, а следовательно, и частота битовых оши- 
бок в принимаемых сигналах. Поэтому решение применить коды ЕЕС было вынужденным, 
иначе кодирование РАМА не позволило бы осуществить надежную передачу информации 
с нужной скоростью. Стандартная контрольная сумма СКС-32 кадра Е(ћегпеќ не в состо- 
янии решить эту задачу. 


На рис. 10.19, а показаны подуровни физического уровня стандарта 400С Еегпее (мы сна- 
чала опишем детали реализации этой скорости, а потом покажем, каким образом решения, 
найденные для 400С, были использованы для версий 200С и 50С). 


Подуровень физического кодирования РС$ усложнился по сравнению с предыдущими вер- 
сиями Еїћегпеї, так как именно он добавляет коды ЕЕС к потоку данных, получаемому от 
уровня МАС через подуровень согласования К5 через интерфейс СОМІ (СО - 400 в рим- 
ской нотации). В качестве кодов ЕЕС рекомендуется использовать коды Рида — Соломо- 
на В$ (544, 514, 10), это означает, что к каждым 514 словам исходного кода добавляется 
30 контрольных слов, так что результирующий блок данных имеет длину 544 слова. 


Последний параметр в обозначении кода говорит о том, что слово имеет длину в 10 бит. 
При генерировании кодов ЕЕС данные, получаемые от уровня МАС, рассматриваются 
как поток битов, разбиение их на поля кадра Еегпей игнорируется. В этом отношении 
реализация механизма ЕЕС в Егћегпег 400С похожа на его реализацию в технологии ОТМ, 
в которой коды ЕЕС также периодически вставляются в поток битов для каждого блока би- 
тов определенной длины. Как видно из названия кода ЕЕС, выбранного для Ефегпе 400С, 
при их вычислении даже не принимается во внимание традиционное разбиение данных на 
байты, так как длина слова не кратна 8. Уровень РС$ узла-приемника использует коды ЕЕС 
для контроля и исправления битовых ошибок, а поле этого узла-приемника удаляет их из 
потока битов, так что уровень МАС узла-приемника получает кадр в стандартной форме. 
Коды ЕЕС работают на участке между непосредственно соединенными узлами. После вы- 
числения и добавления кодов ЕЕС подуровень скремблирует данные и распределяет их на 
16 потоков, передаваемых подуровню физического присоединения РМА. 


Подуровень РМА обычно разбивается на две части, как это показано на рис. 10.19, 6, одна 
из которых принадлежит порту Еегпеѓ 400С коммутатора (маршрутизатора), а вторая — 
оптическому модулю 400С, устанавливаемому в порт (называемому также трансивером, см. 
материал «Конструктивное исполнение коммутаторов» на сайте книги). Обмен данными 
между этими частями происходит по электрическому интерфейсу 400С АТ]-16, который 
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Рис. 10.19. Реализация физического уровня Ећегпеї 4006 


состоит из 16 электрических контактов, по которым передаются 16 потоков в коде МКЛ. 
Скорость передачи данных в каждом потоке составляет 25,56 Гбит/с, что в сумме дает 
425 Гбит/с -- эта скорость превышает требуемые 400 Гбит/с из-за необходимости пере- 
давать коды ЕЕС. Заметим, что скорость изменения сигнала в потоке равна 25,56 Гбод, 
так как она всегда совпадает со скоростью передачи данных при кодировании МКГ с дву- 
мя состояниями сигнала. Подуровень РМА оптического модуля принимает 16 потоков 
МКИ, и объединяет их в 8 потоков, перекодируя данные в код РАМА. При этом скорость 
изменения сигнала в каждом потоке не изменяется — она остается равной 25,56 Гбод (что 
хорошо для электронных компонент оптического модуля), но скорость передачи данных 
увеличивается вдвое и теперь равна 53,12 Гбит/с. 


На рис. 10.19, б показан один из вариантов использования потоков 53,12 Гбит/с (их 
часто для краткости называют потоками 50 Гбит/с) оптическим модулем для передачи 
их до двум волокнам одномодового оптоволоконного кабеля. Передатчики Тх преобра- 
зуют электрические сигналы в оптические, при этом для каждого потока используется 
отдельная волна из диапазона С\УОМ (диапазон состоит из 16 волн длиной от 1270 нм 
до 1610 нм с шагом 20 нм). Эти сигналы поступают на мультиплексор М, выдающий 
составной бесцветный сигнал на передающее волокно оптоволоконного кабеля. При по- 
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ступлении составного сигнала из приемного волокна кабеля он демультиплексируется 
на отдельные волны, оптические сигналы которых затем преобразуются в электрические 
приемниками Кх. 


Описанный ранее физический стандарт 400С Ефегпек, использующий передачу на двух од- 
номодовых волокнах оптического кабеля определенной длины, носит название 400СВаѕе- 
ЕК, 400СВазе-5К8 или 400СВаѕе-ЕК8 в зависимости от максимальной длины кабеля 
(2 км, 10 км или 40 км соответственно). В случае многомодового оптического кабеля при- 
меняется параллелизм волокон кабеля, а не волн. Так, стандарт 400СВазе-5К8 работает на 
кабеле, состоящем из 8 волокон для каждого направления. 


Поток данных скорости 53,12 Гбит/с с кодировкой РАМА стал основным элементом не 
только стандарта 400С, но и стандартов 200С и 50С. Отличие стандартов 200С Вазе-ЕКА4, 
200С Вазс-5К4 и 200СВаѕе-ЕКА от своих более скоростных собратьев состоит только в том, 
что в них применяются не восемь, а четыре потока 50 Гбит/с, передаваемых четырьмя вол- 
нами в каждом направлении. Соответственно в стандартах 50С Вазе-5К/Ё.К применяются 
один поток 50 Гбит/с и одна длина волны в каждом направлении. 


($) Конструктивное исполнение коммутаторов 


11 Отказоустойчивые 
и виртуальные 
локальные сети 


Алгоритм покрывающего дерева 


В коммутируемых локальных сетях проблема обеспечения надежности сети имеет свою 
специфику: базовый протокол прозрачного моста корректно работает только в сети с дре- 
вовидной топологией, в которой между любыми двумя узлами сети существует единствен- 
ный маршрут. Тем не менее очевидно, что для надежной работы сети необходимо наличие 
альтернативных маршрутов между узлами, которые можно использовать при отказе 
основного маршрута. Наиболее простое решение этой проблемы — построение сети с аль- 
тернативными маршрутами, ручное нахождение связной древовидной топологии и ручное 
блокирование (то есть перевод в административное состояние «отключен») всех портов, 
которые не входят в найденную топологию. В случае отказа сети этот процесс должен 
повторяться — опять же в ручном режиме. Понятно, что надежность сети в этом случае 
оказывается не очень высокой, так как время пребывания ее в неработоспособном состо- 
янии будет исчисляться минутами: нужно обнаружить отказ, локализовать его (то есть 
не только зафиксировать факт, что в сети что-то перестало работать, но и понять, какая 
именно связь пострадала и требует обхода), затем найти новый работоспособный вариант 
топологии сети (если он, конечно, существует) и сконфигурировать его. 


Для автоматического выполнения перечисленных действий, то есть нахождения и конфигуриро- 
вания активной древовидной топологии, мониторинга состояния ее связей и перехода к новой 
древовидной топологии при обнаружении отказа связи в коммутируемых локальных сетях ис- 
пользуются алгоритм покрывающего дерева (Ѕраппіпа Тгее Аідогіїћт, ЭТА) и реализующий 
его протокол покрывающего дерева (Ѕраппіпо Тее Ргоїосо!, ЭТР). 


Алгоритм покрывающего дерева, разработанный в 1983 году, был признан ІЕЕЕ удачным 
решением и включен в ту же спецификацию 802.10, в которой описывается и алгоритм 
прозрачного моста. Фактически протокол ТР является специфической упрощенной 
версией протокола маршрутизации. Упрощение — в том, что кадры направляются по 
активному маршруту независимо от их адреса назначения, в то время как в протоколах 
маршрутизации активный маршрут выбирается для каждого адреса индивидуально. Се- 
годня протокол ЭТР широко применяется в наиболее массовых устройствах современных 
локальных сетей — коммутаторах. Версия протокола ТР, получившая название КТР 
(Кар! ЗТР, то есть быстрый протокол покрывающего дерева), затрачивает на поиск новой 
топологии несколько секунд. 
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Протокол $ТР 


Протокол $ТР формализует сеть (рис. 11.1, а) в виде графа (рис. 11.1, 6), вершинами 
которого являются коммутаторы и сегменты сети. Сегмент — это связная часть сети, не 
содержащая коммутаторов (маршрутизаторов). Сегмент может быть разделяемым (во вре- 
мена создания алгоритма ЅТА это был единственный тип сегмента) и включать устройства 
физического уровня — повторители/концентраторы, существование которых коммутатор, 
будучи устройством канального уровня, «не замечает». 


— коммутаторы 
— повторители 
Е — дуплексный порт 
Н — полудуплексный порт 


[5 5) — коммутаторы 


< > — сегменты 


б 


Рис. 11.1. Формализованное представление сети в соответствии с алгоритмом ЭТА 


Сегмент может представлять собой и двухточечный канал. В коммутируемых локальных 
сетях, применяемых сегодня, это единственный тип сегмента. 


Протокол покрывающего дерева обеспечивает построение древовидной топологии связей 
с единственным путем минимальной длины от каждого коммутатора и от каждого сегмента 
до некоторого выделенного корневого коммутатора — корня дерева. Единственность пути 
гарантирует отсутствие петель, а минимальность расстояния — рациональность маршрутов 
следования трафика от периферии сети к ее магистрали, роль которой исполняет корневой 
коммутатор. 


В качестве расстояния в ЭТА используется метрика — традиционная для протоколов 
маршрутизации величина, обратно пропорциональная пропускной способности сегмента. 
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Также в ЭТА метрика определяется как условное время передачи бита сегментом. В текущей 
версии стандарта 802.10-2004 используются такие значения метрик, которые расширяют 
диапазон скоростей сегментов до 10 Тбит/с (то есть с большим запасом относительно 
сегодняшнего уровня максимальной для Е\егпе скорости в 100 Гбит/с), давая такому сег- 
менту значение 2; соответственно сегмент 100 Гбит/с получает значение 200, 10 Гбит/с — 
2000, 1 Гбит/с — 20 000, 100 Мбит/с — 200 000, а 10 Мбит/с — 2 000 000. 


Протокольными единицами данных моста (Вг145е Ргоѓосо! ЮОаѓа іє, ВРО|) на- 
зываются специальные пакеты, которыми периодически обмениваются коммутаторы 
для автоматического определения конфигурации дерева. Пакеты ВРОТ переносят 
данные об идентификаторах коммутаторов и портов, а также о расстоянии до корнево- 
го коммутатора. Существуют два типа сообщений, которые переносят пакеты ВРОП: 
конфигурационные сообщения, называемые также сообщениями Нео (с интервалом 
2 с), и сообщения с уведомлениями об изменении конфигурации. Для доставки ВРОО 
используется групповой адрес 01:80:С2:00:00:00, позволяющий организовать эффек- 
тивный обмен данными. 


Три этапа построения дерева 


На рис. 11.2 приведен пример сети стандарта 802.10-2004, который иллюстрирует работу 
протокола $ТР. Мы также будем использовать этот пример в своем описании. 


Рис. 11.2. Пример сети, иллюстрирующей работу ЭТР 


В этом примере сеть построена на восьми коммутаторах, имеющих идентификаторы со 
значениями от 111 до 888. В стандарте в качестве идентификатора коммутатора исполь- 
зуется его МАС-адрес, к которому добавляются два старших байта, конфигурируемые 
вручную, — администратор может использовать их для вмешательства в выбор корневого 
коммутатора. Для удобства записи на рисунке указаны сокращенные до трех разрядов 
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значения МАС-адресов коммутаторов. Все коммутаторы соединены друг с другом двух- 
точечными связями, которые образуют сегменты А-А. Порты З и 4 коммутаторов с 555 по 
888 соединены с конечными узлами сети — компьютерами (на рисунке не показаны). Все 
связи в сети — связи со скоростью 100 Мбит/с (Еаѕї Ефегпег). Алгоритм ЅТА определяет 
активную конфигурацию сети в три этапа: 


1. Определение корневого коммутатора, от которого строится дерево. В качестве кор- 
невого коммутатора выбирается коммутатор с наименьшим значением идентификатора. 
В исходном состоянии каждый коммутатор, считая себя корневым, генерирует и передает 
своим соседям сообщения Нео, в которых помещает свой идентификатор в качестве 
идентификатора корневого коммутатора. Коммутатор, получив от соседа сообщение Нео, 
содержащее идентификатор корневого коммутатора, меньший его собственного, перестает 
считать себя корневым коммутатором и генерировать свои сообщения Нео, начиная ре- 
транслировать сообщения Нео, получаемые от соседей. В нашем примере предполагается, 
что администратор не стал менять старшие байты коммутаторов, так что у всех коммута- 
торов они остались равными значению 32 768 (значение, предлагаемое по умолчанию), 
а корневым коммутатором стал коммутатор с идентификатором 111. 


2. Выбор корневого порта для каждого коммутатора. Корневым портом коммутатора явля- 
ется тот порт, расстояние от которого до корневого коммутатора является минимальным. 
Сам корневой коммутатор корневых портов не имеет. Для определения корневого порта 
каждый коммутатор использует пакеты Нео, ретранслируемые ему другими коммутатора- 
ми. На основании этих пакетов каждый коммутатор определяет минимальные расстояния 
от всех своих портов до корневого коммутатора и выбирает порт с наименьшим значением 
в качестве корневого. При равенстве расстояний выбирается порт с наименьшим значением 
идентификатора порта (это порядковый номер порта в коммутаторе). 


Например, у коммутатора 222 порты 1 и 2 находятся на одинаковом расстоянии до кор- 
невого коммутатора 111 — оба эти порта непосредственно связаны через сегменты А и В 
с коммутатором 111, а значит, получают пакеты Нео с метрикой, равной 0. Так как иден- 
тификатор порта 1 меньше идентификатора порта 2, то корневым портом коммутатора 222 
выбирается порт 1. Аналогично корневым портом коммутатора 555 становится порт 1, ане 
порт 2. Оба эти порта получают сообщения Нео, генерируемые корневым коммутатором 
111, с наименьшим значением метрики 200 000. Порт 1 получает такие сообщения по марш- 
руту: порт 1 коммутатора 111 — сегмент С — порт 1 коммутатора 333 — порт 6 коммутатора 
333 — сегмент С; соответственно порт 2 получает их по маршруту: порт 3 коммутатора 
111 — сегмент Ё — порт 1 коммутатора 444 — порт 6 коммутатора 444 — сегмент /. 


3. Выбор назначенных коммутаторов и портов для каждого сегмента сети. Назначенным 
является коммутатор (из числа коммутаторов, непосредственно подключенных к данному 
сегменту), у которого расстояние до корневого моста является минимальным (точнее, рас- 
стояние от корневого порта этого коммутатора до корневого коммутатора). Назначенные 
порты для сегментов исполняют ту же роль, что и корневые порты для коммутаторов, 
располагаясь на кратчайшем пути до корневого коммутатора. 


Как и при выборе корневого порта, здесь используется распределенная процедура. Каждый 
коммутатор сегмента прежде всего исключает из рассмотрения свой корневой порт (для 
сегмента, к которому он подключен, всегда существует другой коммутатор, расположенный 
ближе к корню). Для каждого из оставшихся портов выполняется сравнение принятых по 
ним минимальных расстояний до корня (еще до наращивания на метрику сегмента) с рас- 
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стоянием до корня корневого порта данного коммутатора. Если все принятые на этом порту 
расстояния оказываются больше, чем расстояние от собственного корневого порта, то это 
значит, что для сегмента, к которому подключен порт, кратчайший путь к корневому ком- 
мутатору проходит через него, и он становится назначенным. Коммутатор делает все свои 
порты, для которых такое условие выполняется, назначенными. Когда имеется несколько 
портов с одинаковым кратчайшим расстоянием до корневого коммутатора, выбирается 
порт с наименьшим идентификатором. 


В нашем примере коммутатор 111 при проверке порта 1 обнаруживает, что через этот 
порт принимаются пакеты с минимальным расстоянием 200 000 (пакеты от порта 1 ком- 
мутатора 222, который ретранслирует через все свои порты сообщения Нео, полученные 
от коммутатора 111, но с измененной метрикой, в частности, передает их и коммутатору 
111). Так как коммутатор 111 является корневым, то его расстояние до корневого комму- 
татора равно нулю, то есть меньше, чем у получаемых через порт 1 сообщений. Поэтому 
коммутатор 1 объявляет свой порт 1 назначенным для сегмента А. Коммутатор 222 не 
может объявить свой порт 1 назначенным для сегмента А, так как через него он получает 
сообщения с минимальной метрикой 0, а у его корневого порта метрика равна 200 000. На 
выполнение всех трех этапов коммутаторам сети отводится по умолчанию 15 секунд. Эта 
стадия работы портов называется стадией прослушивания (1$еп1п7) — порты слушают 
только сообщения ВРОЦ и не передают пользовательских кадров. Считается, что порты 
находятся в заблокированном состоянии, которое относится только к пользовательским 
кадрам, в то время как кадры ВРОП обрабатываются. Предполагается, что в стадии про- 
слушивания каждый коммутатор получает столько пакетов НеПо, сколько требуется для 
определения состояния своих портов. Все остальные порты, кроме корневых и назначен- 
ных, каждым коммутатором блокируются и не могут передавать пользовательские кадры. 
Математически доказано, что при таком выборе активных портов из сети исключаются 
петли, а оставшиеся связи образуют покрывающее дерево (если оно вообще может быть 
построено при существующих связях в сети). 


Результат работы протокола 57Р для нашего примера показан на рис. 11.3. 


На рисунке корневые порты коммутаторов отмечены символом К: назначенные порты за- 
крашены, а заблокированные зачеркнуты. 


После построения покрывающего дерева коммутатор начинает принимать (но не про- 
двигать) пакеты данных и на основе их адресов источника строить таблицу продвижения. 
Это — обычный режим обучения прозрачного моста, который ранее нельзя было активи- 
зировать, так как порт не был уверен в том, что он останется корневым или назначенным 
и будет передавать пакеты данных. 


В процессе нормальной работы корневой коммутатор продолжает генерировать пакеты 
Нео, а остальные коммутаторы получают их через свои корневые порты и ретранслируют 
через назначенные порты. Если по истечении максимального времени жизни сообщения 
(по умолчанию — 10 интервалов Нео, то есть 20 секунд) корневой порт любого комму- 
татора сети не получает служебный пакет Нео, он инициализирует новую процедуру 
построения покрывающего дерева — так обеспечивается отказоустойчивость локальной 
сети на коммутаторах. При этом на все порты генерируется и передается пакет Нео, в ко- 
тором коммутатор указывает себя в качестве корневого. Аналогично ведут себя и другие 
коммутаторы сети, у которых сработал таймер истечения максимального времени жизни 
сообщения, в результате чего выбирается новая активная конфигурация. 
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Рис. 11.3. Активная топология, найденная по протоколу ТР 


Версия ВЪТР 


Основным недостатком протокола ТР является его «медлительность»: в сетях с большим 
количеством коммутаторов время определения новой активной конфигурации может 
оказаться слишком большим. Если в сети используются заданные по умолчанию значения 
тайм-аутов, то переход на новую конфигурацию может занять свыше 50 секунд: 20 секунд 
понадобится на констатацию факта потери связи с корневым коммутатором (истечение 
таймера — единственный способ узнать об этом событии в стандартном варианте ТА), 
еще 2 х 15 секунд нужно для перехода портов в состояние продвижения. 


Имеющиеся многочисленные нестандартные версии ЭТА позволяют сократить время 
реконфигурирования за счет усложнения алгоритма, например, добавления новых типов 
служебных сообщений. В 2001 году была разработана стандартная ускоренная версия 
протокола — КТР (спецификация ІЕЕЕ 802.1\), которая затем вошла в качестве раз- 
дела 17 в общий стандарт 802.10-2004. Для сокращения времени построения активной 
топологии в версии КЗТР использовано несколько новых механизмов и приемов. На- 
зовем их. 


Коммутаторы стали учитывать тип сегмента, подключенного к порту. Различаются 
следующие типы сегментов: 


Ц Двухточечный сегмент. В коммутируемых сетях это единственный тип сегмента; для 
него у порта существует единственный порт-сосед. 


О Разделяемая среда. Стандарт КТР по-прежнему учитывает существование разделя- 
емой среды, так как формально ее никто не отменял для скоростей ниже 10 Гбит/с. 
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О Тупиковая связь (ейве рогі). Связь, соединяющая порт коммутатора с конечным узлом 
сети; по этому сегменту нет смысла ожидать прихода сообщений протокола К$ТР. Ту- 
пиковая связь конфигурируется администратором. 


В случае подключения к порту тупикового сегмента этот порт не участвует в работе про- 
токола КЗТР а сразу после включения переходит в стадию продвижения кадров. Нужно за- 
метить, что в стандарте КЅТР начальное заблокированное состояние портов переименовано 
в состояние отбрасывания. Для портов со связями остальных типов переход в состояние 
продвижения по-прежнему достижим только после прохождения стадии обучения. 


Исключается стадия прослушивания. Коммутаторы не делают паузу в 15 секунд, для того 
чтобы зафиксировать соответствующую роль порта, например, корневого или назначенно- 
го. Вместо этого порты переходят в стадию обучения сразу же после назначения им роли 
корневого или назначенного порта. 


Сокращается период фиксации отказа в сети — вместо 10 периодов неполучения сообще- 
ний Нео он стал равен трем таким периодам, то есть 6 секунд вместо 20. 


Введены новые роли портов — появились альтернативный (а[(егпацуе) и резервный 
(Баскир) порты. Альтернативный порт — порт-дублер корневого порта коммутатора, то есть 
он начинает продвигать кадры в том случае, когда отказывает (либо перестает принимать 
сообщения Нео в течение трех периодов) корневой порт. Резервный порт является пор- 
том-дублером назначенного порта сегмента; однако такая роль порта имеет смысл только 
для сегментов, представляющих собой разделяемую среду. Альтернативные и резервные 
порты находятся в состоянии отбрасывания кадров, так как они не должны продвигать 
кадры до тех пор, пока их роль не изменится на роль корневого или назначенного порта. 
Как альтернативные, так и резервные порты выбираются одновременно с корневыми и на- 
значенными портами. Такой подход значительно ускоряет реакцию сети на отказы, так как 
переход, например, на альтернативный порт происходит сразу же после фиксации отказа 
и не связан с ожиданием истечения тайм-аутов. За счет новых механизмов и новых ролей 
портов протокол КЗТР строит новую активную топологию быстрее, чем протокол $ТР, — за 
несколько секунд вместо одной или нескольких минут. Протокол КТР совместим с про- 
токолом ЅТР так что сеть, построенная из коммутаторов, часть из которых поддерживает 
К$ТР а часть — $ТР, будет работать нормально. 


Фильтрация трафика 


Локальная сеть обеспечивает взаимодействие каждого узла с каждым — это очень полезное 
свойство, так как не требуется производить никаких специальных действий, чтобы обе- 
спечить доступ узла А к узлу В, — достаточно того, что узлы подключены к одной и той 
же локальной сети. В то же время в сети могут возникать ситуации, когда такая тотальная 
доступность узлов нежелательна. Пример — сервер финансового отдела, доступ к которому 
желательно разрешить только с компьютеров нескольких конкретных сотрудников этого 
отдела. Доступ можно ограничить и на уровне ОС или системы управления базой данных 
самого сервера, но для надежности желательно иметь несколько эшелонов защиты и огра- 
ничить доступ еще и на уровне сетевого трафика. Многие модели коммутаторов позволяют 
администраторам задавать, наряду со стандартными условиями их фильтрации в соот- 
ветствии с информацией адресной таблицы, и дополнительные условия. Такие фильтры 
называют пользовательскими. 


354 Часть 1. Технология Ећегпеї 


Пользовательский фильтр, который также часто называют списком доступа (ассез$ |151), пред- 
назначен для создания дополнительных барьеров на пути кадров, что позволяет ограничивать до- 
ступ определенных групп пользователей к отдельным службам сети. Пользовательский фильтр — 
это набор условий, которые ограничивают обычную логику передачи кадров коммутаторами. 


Наиболее простыми являются пользовательские фильтры на основе МАС-адресов станций. 
МАС-адреса — это та информация, с которой работает коммутатор, позволяя создавать 
подобные фильтры удобным для администратора способом, возможно, проставляя некото- 
рые условия в дополнительном поле адресной таблицы — например, условие отбрасывать 
кадры с определенным адресом (см. рис. 12.5 в главе 12). Таким способом пользователю, 
работающему на компьютере с данным МАС-адресом, полностью запрещается доступ 
к ресурсам другого сегмента сети. Рассмотрим применение пользовательского фильтра 
на примере сети, показанной на рис. 11.4. Пусть требуется разрешить доступ к серверу 51 
только с компьютеров С1 и СЗ, причем кадры от всех остальных компьютеров до сервера 
доходить не должны. 


МАС-52 ух 


1 6 


1 6 
$2 |4, аьа 
МАС-53 
Г) мАС-С1 Г) МАС-С2 Г.) МАС-СЗ 
Е Е ЕЕ 
С1 С2 Сз 


Рис. 11.4. Контроль доступа к серверу с помощью пользовательского фильтра 


Список доступа, который решает эту задачу, может выглядеть так: 


10 регтії МАС-С1 МАС-51 
20 регтії МАС-СЗ МАС-51 
30 епу апу апу 


Числа 10, 20 и 30 — это номера строк данного списка. Строки нумеруются с интервалом 
10, что дает возможность добавления в этот список других записей, сохраняя исходную 
последовательность строк. Первое условие разрешает (регтії) передачу кадра, если его 
адрес источника равен МАС-СЇ, а адрес назначения — МАС-51; второе условие делает то 
же, но для кадра с адресом источника МАС-СЗ; третье условие запрещает (депу) передачу 
кадров с любыми (апу) адресами. 
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Чтобы список доступа начал работать, его нужно применить к трафику определенного на- 
правления на каком-либо порту коммутатора: или к входящему, или к исходящему. В нашем 
примере требуется применить список доступа к исходящему трафику порта 1 коммутатора 
ЅМЗ, к которому подключен сервер 51. Коммутатор З\!З перед тем, как передать кадр на 
порт 1, будет просматривать условия списка доступа по очереди. Если какое-то условие из 
списка соблюдается, то коммутатор выполняет действие этого условия для обрабатываемого 
кадра и на этом применение списка доступа к данному кадру заканчивается. Поэтому, когда 
от компьютера С1 приходит кадр, адресованный серверу $1, то соблюдается первое условие 
списка, разрешающее передачу кадра, так что коммутатор выполняет стандартное действие 
по продвижению кадра, и тот доходит до сервера 51. С кадром от компьютера СЗ совпадение 
происходит при проверке второго условия, и он также передается. Однако когда приходят 
кадры от других компьютеров, например компьютера С2, то ни первое, ни второе условия не 
соблюдаются, зато соблюдается третье условие, поэтому кадр не передается, а отбрасывается. 


Списки доступа коммутаторов не работают с широковещательными адресами Ећегпеї, 
такие кадры всегда передаются на все порты коммутатора. Отметим, что списки доступа 
коммутаторов достаточно примитивны, поскольку способны оперировать только инфор- 
мацией канального уровня (МАС-адресами). Списки доступа маршрутизаторов гораздо 
более гибкие и мощные, поэтому на практике они применяются намного чаще!. 


Иногда администратору требуется задать более тонкие условия фильтрации, например, 
запретить некоторому пользователю печатать свои документы на УЛп4о\з-сервере печати, 
находящемся в чужом сегменте, а остальные ресурсы этого сегмента сделать доступными. 
Для реализации подобного фильтра нужно запретить передачу кадров, которые удовлетво- 
ряют следующим условиям: во-первых, имеют определенный МАС-адрес, во-вторых, содер- 
жат в поле данных пакеты $МВ, в-третьих, в соответствующем поле этих пакетов в качестве 
типа сервиса указана печать. Коммутаторы не анализируют протоколы верхних уровней, 
такие как 5МВ, поэтому администратору приходится для задания условий фильтрации 
«вручную» определять поле, по значению которого нужно осуществлять фильтрацию. 
В качестве признака фильтрации администратор указывает пару «смещение — размер» 
относительно начала поля данных кадра канального уровня, а затем приводит еще шест- 
надцатеричное значение этого поля. 


Сложные условия фильтрации обычно записываются в виде булевых выражений, форми- 
руемых с помощью логических операторов АМ” и ОК. 


Агрегирование линий связи 
в локальных сетях 


Транки и логические каналы 


Агрегирование линий связи (физических каналов) между двумя коммуникационными 
устройствами в один логический канал является еще одной формой использования из- 
быточных альтернативных связей в локальных сетях. 


1 Существуют так называемые коммутаторы 3-го уровня, объединяющие функции коммутаторов 
и маршрутизаторов (в несколько усеченном виде), позволяя фильтровать трафик с привлечением 
условий на уровне как МАС-адресов, так и ІР-адресов. 
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Отличие техники агрегирования линий связи от алгоритма покрывающего дерева достаточно 
принципиально. 


О Алгоритм ЭТА переводит избыточные связи в горячий резерв, оставляя в рабочем состоянии 
только минимальный набор линий, необходимых для обеспечения связности сегментов сети. 
В этом случае повышается надежность сети, но не ее производительность. 


О При агрегировании физических каналов все избыточные связи остаются в рабочем состоянии, 
В результате повышается как надежность сети, так и ее производительность. 


При отказе одной из составляющих агрегированного логического канала, который часто 
называют транком, трафик распределяется между оставшимися линиями (рис. 11.5). На 
рисунке примером такой ситуации является транк 2, в котором один из физических кана- 
лов (центральный) отказал, и все кадры передаются по оставшимся двум каналам. Этот 
пример демонстрирует повышение надежности при агрегировании. 


Рис. 11.5. Агрегирование физических каналов 


Покажем теперь, как агрегирование линий связи повышает производительность сети. 
Так, на рисунке коммутаторы 1 и 3 соединены тремя параллельными линиями связи, что 
в три раза повышает производительность этого участка сети по сравнению со стандартным 
вариантом топологии дерева, которая не допускает таких параллельных связей. Повыше- 
ние производительности связи между коммутаторами путем агрегирования линий связи 
в некоторых случаях является более эффективным, чем замена единственной линии связи 
более скоростной. Например, несмотря на то что семейство Е(ћегпеѓ предлагает широкий 
выбор скоростей физического канала, от 10 Мбит/с до 100-400 Гбит/с, десятикратное по- 
вышение скорости при переходе от одного стандарта Е{Вегпе к другому не всегда нужно 
и экономически оправданно. Например, если в установленных в сети коммутаторах отсут- 
ствует возможность добавления модуля с портом 10С Е(ћегпеї, то повышение скорости на 
некоторых каналах до 10 Гбит/с потребует полной замены коммутаторов. В то же время 
вполне возможно, что у таких коммутаторов имеются свободные порты Сівађії Ефегпей, 
поэтому скорость передачи данных можно было бы повысить, например, до 6 Гбит/с, объ- 
единив в агрегированный канал шесть портов Еаѕі Еёћегпеї. 
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Агрегирование линий связи используется как для связей между портами коммутаторов 
локальной сети, так и для связей между компьютером и коммутатором. Чаще всего этот 
вариант выбирают для высокоскоростных и ответственных серверов. В этом случае все 
сетевые адаптеры, входящие в транк, принадлежат одному компьютеру и разделяют один 
и тот же сетевой адрес. Поэтому для протокола [Р или другого протокола сетевого уровня 
порты транка неразличимы, что соответствует концепции единого логического канала, 
лежащей в основе агрегирования. 


Почти все методы агрегирования, применяемые в настоящее время, обладают существен- 
ным ограничением — в них учитываются только связи между двумя соседними коммутато- 
рами сети и полностью игнорируется все, что происходит вне этого участка сети. Например, 
работа транка 1 никак не координируется с работой транка 2, и наличие обычной связи 
между коммутаторами 2 и 3, которая создает вместе с транками 1 и 2 петлю, не учитыва- 
ется. Поэтому технику агрегирования линий связи необходимо применять одновременно 
с алгоритмом покрывающего дерева — если администратор сети хочет использовать все 
топологические возможности объединения узлов сети. Для ЭТА транк должен выглядеть 
как одна линия связи, тогда логика работы алгоритма останется в силе. 


Существует большое количество фирменных реализаций механизма агрегирования линий 
связи. Наиболее популярные принадлежат, естественно, лидерам в секторе оборудования для 
локальных сетей. Это такие реализации, как Еаѕё ЕіһегСһаппе и Сіваб ЕфегСВаппе| компа- 
нии Сіѕсо, Ми Ик Тгопкіпе компании №оке|, Адариуе Г.оа4 ВаЈапсіпе компании ие] и ряд 
других. Стандарт ТЕЕЕ Глок Азегерайоп обобщает эти подходы. Начальные версии этого 
стандарта были разработаны только для технологии Е(ћегпеѓ, поэтому он разрабатывался 
рабочей группой 802.3 и получил обозначение 802.За4, но затем его потенциальная полез- 
ность для других технологий была осознана и последние версии этого стандарта находятся 
в ведении рабочей группы 802.1, последняя версия получила обозначение 802.1АХ-2014. 


Динамическое агрегирование линий связи 
в стандарте ІЕЕЕ Ипк Аддгедайоп 


Стандарт ІЕЕЕ 802.1АХ описывает процедуры агрегирования линий связи между двумя 
узлами сети (называемыми в стандарте системами), связанными между собой линиями 
связи топологии «точка — точка». Связи другой топологии, например «точка — много- 
точка», не разрешаются. Возможен также распределенный вариант агрегирования, когда 
агрегированные линии связи соединяют два портала — порталом в стандарте называется 
группа узлов (состоящая максимум из трех узлов), действующая как единое целое в от- 
ношении использования агрегированной линии связи. Далее мы рассмотрим только не- 
распределенный вариант стандарта. 


Стандарт вводит новый подуровень агрегирования линий связи (іпк Арегегайоп 
ЅиЫауег, Г.А$), располагающийся между уровнем МАС и уровнем протокола верхнего 
уровня, который пользуется услугами уровня МАС (рис. 11.6). Таким протоколом может 
быть протокол ІР, протокол ЅТР или любой другой протокол, которому необходимо пере- 
дать свои данные с помощью протокола Ећегпеѓ. Для протокола верхнего уровня услуги, 
предоставляемые подуровнем агрегирования линий связи, идентичны услугам уровня 
МАС, при этом вместо агрегатной группы портов (ТлоК Ахегегайоп Сгоир, АС) они 
имеют дело с одним портом, называемым логическим портом агрегатора. 
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Логический порт агрегатора имеет свой собственный МАС-адрес (МАС-А на рис. 11.6), 
который заменяет адрес для протоколов верхнего уровня вместо МАС-адреса физических 
портов, входящих в группу ГАС. То есть в том случае, когда протокол верхнего уровня 
обращается к протоколу Есһегпеѓ с запросом о формировании и отправке нового пакета 
Есћегпеѓ, протокол Еегпе{ указывает в качестве адреса отправителя адрес МАС-А. 


Протокол-клиент агрегатора 


агрегатора 
Подуровень Шпк Аддгедайоп 


= 


У У У 


— 
\/ 


| 
Группа портов АС 


Рис. 11.6. Позиция подуровня агрегирования линий связи 
в стеке протоколов Ећегпеї 


Естественно, этот МАС-адрес используется только тогда, когда кадры отправляются от 
имени узла, на котором работает протокол агрегирования линий связи, например, когда 
агрегируются порты ІР-маршрутизатора, который каждый раз упаковывает ІР-пакет в но- 
вый кадр Ећегпеѓ и отправляет своему соседу от своего МАС-адреса (подробно работа 
ІР-маршрутизатора рассматривается в главе 17). Протокол ЅТР также генерирует кадры 
Ећегпег от имени своего узла, поэтому в его кадрах также используется адрес МАС-А. 
В тех же случаях, когда узел передает кадры Е(ћегпеѓ транзитом, как это делает коммутатор 
при обработке трафика своих клиентов, МАС-адреса в этих кадрах не изменяются и адрес 
МАС-А не используется, как не используются МАС-адреса физических портов коммута- 
тора в том случае, когда агрегирование портов не используется. 


Алгоритм прозрачного моста работает над подуровнем 1.А$, поэтому в таблицах продви- 
жения коммутатора фигурирует адрес МАС-А, а не адреса физических портов, входящих 
в группу портов ГАС. Подуровень Г.А$ имеет довольно сложную структуру (рис. 11.7). 
Основным функциональным блоком подуровня Г.А$ является агрегатор — блок, в обязан- 
ности которого входит распределение кадров, получаемых от протокола верхнего уровня 
между физическими портами агрегатной группы ГАС, и выполнение обратной опера- 
ции — агрегирования кадров, поступающих от физических портов в общий поток кадров, 
передаваемых верхнему уровню. 
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Рис. 11.7. Функциональная структура подуровня агрегирования линий связи 


Агрегатор работает под управлением блока управления агрегированием, отвечающим за то, 
какие физические порты образуют группу ГАС. Узел может иметь несколько групп АС — 
в этом случае в нем организуется несколько агрегаторов по числу групп. Группа может быть 
образована как вручную, так и автоматически. В первом случае ее конфигурирует админи- 
стратор и группа является статической, то есть членство портов в ней не изменяется до тех 
пор, пока администратор не изменит состав группы. Во втором случае группа образуется 
автоматически в результате работы протокола управления агрегированием линий связи 
ГАСР (Глок Авогевайоп Сопёго| Ргоќосо]). 


Протокол АСР выполняет две основные функции: 


О образование группы портов ГАС в результате переговорного процесса между двумя 
узлами сети; 


Ц постоянный мониторинг состояния портов и линий связи, входящих в агрегатную 
группу ГАС. 


Эти функции взаимосвязаны: если в результате мониторинга выясняется, что порт или 
линии стали неработоспособными, то состав группы АС может динамически измениться, 
отказавший порт из нее удаляется, а новый — добавляется. Для выполнения этих функций 
узлы постоянно обмениваются сообщениями протокола АСР. Протокол Г.АСР узла может 
находиться в двух состояниях — активном, когда он периодически генерирует сообщения 
АСР и пассивном, когда он только принимает сообщения Г.АСР от активного соседа. Оба 
узла могут одновременно находиться в активном состоянии, но если они оба пассивны, 
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то сессии Г. АСР просто не будет существовать. Состояние АСР узла конфигурируется 
администратором. Для объединения нескольких физических портов протоколом Г.АСР 
в одну группу АС должно быть выполнено несколько условий: 


О порты должны поддерживать одну и ту же скорость, например, порт 1 Гбит/с и порт 
10 Гбит/с объединить нельзя; 


О порты должны работать в полнодуплексном режиме; 


О количество объединяемых портов не должно превышать максимальное количество 
портов для групп АС данного узла (это значение может быть постоянным для опре- 
деленной модели коммутатора либо маршрутизатора или же может быть задано адми- 
нистратором сети); 


Ц всем портам должно быть присвоено одно и то же значение административного ключа. 


Административный ключ — это целое число, которое присваивается порту администра- 
тором, позволяющее администратору влиять на автоматическую процедуру объединения 
портов в группу ГАС. Кроме того, администратор может влиять на процедуру за счет 
назначения узлам и портам приоритетов. Приоритеты узла и порта протокола [АСР 
аналогичны по назначению и формату приоритетам узла и порта в протоколе 5ТР — 
они позволяют разрешить противоречия в переговорном процессе между двумя узлами, 
когда узлы предлагают различные варианты объединения портов в группу, а также от- 
дать предпочтение определенным портам из числа не имеющих равных шансов быть 
включенными в группу. Меньшее значение величины приоритета означает более высо- 


кий приоритет. Рассмотрим, каким образом происходит автоматическое образование 
группы ГАС (рис. 11.8). 


Узел А Узел В Узел А Узел В 
приоритет 1 приоритет 2 приоритет 1 приоритет 2 


Рис. 11.8. Выбор портов при образовании группы АС 


Пусть у обоих узлов имеется ограничение на максимальное число линий связи в группе, 
равное 2. На рисунке также показаны значения приоритета и административного ключа 
каждого порта, назначенного администратором, — это пары (1,1), (2,1) ит. д. Первое зна- 
чение в паре соответствует приоритету порта, второе — является значением администра- 
тивного ключа. 


Алгоритм формирования группы ГАС, реализованный в протоколе Г.АСР, всегда старается 
образовать группу из максимально возможного числа портов. 


В варианте а оба узла независимо друг от друга выбирают верхние порты для образования 
группы ГАС, так как у обоих узлов эти два порта имеют более высокие приоритеты, чем 
два нижних порта. Так как значение административного ключа у всех портов одно и то же 
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(равное 1), то происходит объединение в группу и механизм агрегирования начинает рабо- 
тать (мы рассмотрим его более подробно чуть ниже). Остальные два порта с более низкими 
приоритетами в группу не вошли, но узлы помечают их как резервные (${апБу), то есть 
такие, которые могут быть включены в группу, если условия изменятся — например, если 
администратор увеличит максимальное значение размера группы до трех. Тогда в группу 
будет автоматически добавлена связь А(3,1) — В(3,1) как имеющая более высокий прио- 
ритет по сравнению со связью А(4,1) — В (4,1). 


Другой ситуацией, которая может привести к тому, что протокол АСР добавит новую 
связь к группе, является отказ связи по какой-то причине. Отказ обнаруживается при 
изменении локального статуса порта программным обеспечением коммутатора либо при 
поступлении уведомления о таком событии от партнера по протоколу Г.АСР. При отказе 
связи порт, связанный с этой связью, исключается из группы и переводится в состояние 
резервного порта, а новый порт, если он имеется и может быть включен в группу по своим 
параметрам, добавляется к группе. Таким образом, обеспечивается отказоустойчивость 
агрегированных связей. Если же заменить отказавшую связь нечем, то агрегированное 
соединение продолжает работать с меньшим числом параллельных связей. 


На рис. 11.8, 6 показан эффект приоритета узлов на работу протоколом АСР. Из-за из- 
менения приоритетов портов узлы А и В выбрали различных кандидатов — узел А выбрал 
два нижних порта, а узел В — два верхних. Так как приоритет узла А выше, то в результате 
переговоров в группу АС вошли два нижних порта, а верхние — переведены в резервное 
состояние. 


В нашем примере администратор назначил всем портам один и тот же административный 
ключ. Но он мог бы воспользоваться этим механизмом для явного влияния на процесс 
образования группы. Если предположить, что узлы из примера позволяют включать 
в группу 4 порта, а для обеспечения необходимой пропускной способности между узлами 
достаточно трех, то администратор мог бы назначить третьим верхним портам ключ 1, 
а нижнему — ключ 2. В результате группа была бы образована из трех портов, а нижний 
остался вне группы (в резервном состоянии). 


Возникает вопрос — возможно ли использование связи между нижними портами в случае 
отказа одной из связей группы? На первый взгляд кажется, что нет, так как у нижнего 
порта значение административного ключа не совпадает со значением административного 
ключа портов группы. Однако стандарт наделяет протокол [.АСР правом переписать зна- 
чения ключей, присвоенных портам администратором. Кроме административного ключа, 
с каждым портом связан также еще один ключ — операционный ключ. Администратор не 
назначает значение операционного ключа, оно вырабатывается протоколом Г.АСР. В ис- 
ходном состоянии его значение совпадает со значением административного ключа, но при 
определенных условиях, например, при отказе связи из группы, протокол [АСР может 
изменить значение операционного ключа порта, с тем чтобы он мог стать членом группы. 
Мы немного упростили описание условий включения порта в группу, исходя из того, что 
у всех портов группы должно быть одно и то же значение административного ключа. На 
самом деле во внимание принимается значение операционного ключа, но так как в исход- 
ном состоянии эти значения совпадают, то суть описания была правильной. Чтобы кадры 
с сообщениями протокола Г.АСР не передавались пользователям узла, а доставлялись 
блоку этого протокола, в подуровне АЅ имеются мультиплексоры Г.АСР, выделяющие 
из потока кадров, поступающих от соседнего узла, кадры ГАСР и направляющие их не 
агрегатору, а блоку ГАСР. 
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Теперь рассмотрим, каким образом агрегатор распределяет потоки пользовательских 
кадров, поступающих от протокола верхнего уровня, между портами группы. В комму- 
тируемой среде параллельные связи порождают проблемы для кадров с неизученными, 
широковещательными или групповыми адресами — кадры с такими адресами должны 
передаваться коммутатором на все порты, за исключением того, на который они поступили, 
что порождает несколько копий одного и того же кадра, которые, кроме того, зациклива- 
ются в петле, образованной параллельными каналами. Протокол ЅТР является одним из 
средств борьбы с этим явлением, но применение данного протокола не позволяет повысить 
пропускную способность при существовании параллельных связей, так что необходимо 
другое решение. 


При агрегировании связей для предотвращения таких нежелательных последствий поступают 
по-другому — кадры, поступившие на логический порт агрегатора от протокола верхнего уровня, 
всегда передаются только на один из портов группы ГАС, даже если их адрес является неизучен- 
ным, широковещательным или групповым. 


Вторым аспектом проблемы распределения кадров агрегатором является проблема выбора 
того единственного порта группы, на который нужно передать пришедший кадр. Здесь 
можно предложить несколько вариантов решения. Учитывая, что одной из целей агреги- 
рования линий связи является повышение суммарной производительности участка сети 
между двумя коммутаторами (или коммутатором и сервером), следует распределять кадры 
по портам транка динамически, учитывая текущую загрузку каждого порта и направляя 
кадры в наименее загруженные (с меньшей длиной очереди) порты. Динамический способ 
распределения кадров, учитывающий текущую загрузку портов и обеспечивающий баланс 
нагрузки между всеми связями транка, должен приводить, казалось бы, к максимальной 
пропускной способности транка. 


Однако такое утверждение справедливо не всегда — здесь не учитывается поведение про- 
токолов верхнего уровня. Существует ряд таких протоколов, производительность которых 
может существенно снизиться, если пакеты сеанса связи между двумя конечными узлами 
будут приходить не в том порядке, в котором они отправлялись узлом-источником. Такая 
ситуация может возникнуть, если два или более последовательных кадра одного сеанса 
будут передаваться через разные порты транка — по причине того, что очереди в буферах 
этих портов имеют разную длину. Следовательно, и задержка передачи кадра может быть 
разной, так что более поздний кадр обгонит более ранний. 


Поэтому в большинстве реализаций механизмов агрегирования используются методы 
статического, а не динамического распределения кадров по портам. Статический способ 
распределения кадров подразумевает закрепление за определенным портом транка потока 
кадров определенного сеанса (называемого в стандарте сопуегзайоп, «разговором» ) между 
двумя узлами, так что все кадры потока будут проходить через одну и ту же очередь и их 
упорядоченность не изменится. 


Стандарт не дает точного определения потока и алгоритма приписывания потока порту. 
Производители коммутаторов обычно следуют традиционному определению потока на 
основе МАС-адресов источника и назначения, а номер порта, на который нужно пере- 
давать кадры потока, вычисляется посредством хеш-функции (ћаѕћ псйоп) — функции, 
которая, будучи примененной к некоторым исходным данным, дает в результате значение, 
состоящее из фиксированного, сравнительно небольшого и не зависящего от длины ис- 
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ходных данных числа байтов. Отметим, что существуют разные типы хеш-функций (см. 
главу 26). В качестве примера рассмотрим коммутатор, у которого образована группа [АС 
с четырьмя портами, которые мы обозначим двоичными числами 00, 01, 10 и 11. При по- 
ступлении от протокола верхнего уровня кадра с МАС-адресом источника 7с:25:86:64:сЬ:а0 
и МАС-адресом назначения сс:е1:7Ё:06:0Ъ:с4 хеш-функция от этих двух адресов произве- 
дет результат 10, так что все кадры этого потока будут переданы через порт 10. Для кадра 
с адресами ба:00:03:19:0с:31 и 0а:65:90:46:71:Ю эта же хеш-функция даст результат 01, так 
что кадры потока с этими адресами будут направлены в порт 01. При большом количестве 
различных МАС-адресов и потоков, проходящих через коммутатор, распределение потоков 
по портам будет более или менее равномерным, но при их небольшом количестве баланс 
нагрузки может и не соблюдаться. 


Из того факта, что трафик одного и того же потока всегда проходит через один и тот же 
порт группы ГАС, следует один не очень оптимистический вывод: агрегирование связей 
не всегда приводит к увеличению скорости передачи данных между двумя компьютерами 
сети. Например, имеется клиентский компьютер, который обращается к некоторому сер- 
веру, который подключен к коммутатору с помощью нескольких агрегированных связей. 
Если хеш-функции коммутатора и сервера учитывают только МАС-адреса при распреде- 
лении кадра, то весь поток данных между компьютером и сервером пойдет по одной из 
агрегированных линий связи, так что выигрыша в скорости не получится. Выигрыш будет 
достигнут для сети в целом, когда сервер будет поддерживать несколько параллельных 
сеансов с клиентскими компьютерами сети и эти сеансы будут распределены между раз- 
личными агрегированными связями. 


Для более равномерного распределения потоков по портам группы ГАС используются 
хеш-функции, которые учитывают не только МАС-адреса, но и ІР-адреса, а также номера 
ТСР/ІР портов, находящиеся в соответствующих полях кадра (поскольку сегодня все 
взаимодействия между конечными узлами сети происходят с помощью [Р-протокола, 
такие поля в кадре имеются). При подобном подходе даже взаимодействие между парой 
компьютеров может выиграть от агрегирования линий связи — например, если между 


ними существует несколько сессий, которые порождают потоки с различными номерами 
ТСР или ОБР портов. 


Учет [Р-адресов при распределении потоков важен и для случая, когда агрегирование пор- 
тов происходит на маршрутизаторе. Сам алгоритм работы агрегатора и протокола ГАСР 
остается прежним — эти элементы программного обеспечения маршрутизатора работают 
на канальном уровне, имеющемся в каждом маршрутизаторе, и прямого отношения к марш- 
рутизации, происходящей на сетевом уровне, не имеют. Однако маршрутизатор отличается 
от коммутатора тем, что отправляет кадры Еегпеѓ от своего МАС-адреса, передавая их 
следующему маршрутизатору по его МАС-адресу. Поэтому поток кадров Е{фегпеЕ между 
двумя маршрутизаторами всегда содержит одни и те же МАС-адреса источника и назна- 
чения, и хеш-функция, учитывающая только МАС-адреса, не сможет их распределить по 
разным портам. Учет [Р-адресов меняет картину и приводит к желаемому результату. 


Нам осталось пояснить два элемента, показанные на рис. 11.7, — «Прием маркеров» и <Ге- 
нератор маркеров». Эти элементы поддерживает служебный протокол, работающий между 
агрегаторами двух узлов, соединенных агрегированными линиями связи. Протокол носит 
название протокола маркеров (МагКег Ргоѓосо]) и служит для управления потоком кадров 
при переключении потока кадров между портами группы «на лету», без прерывания сеанса 
связи между конечными узлами, генерирующими эти кадры. Такое переключение может 
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понадобиться при отказе порта группы или при добавлении к ней нового порта. Если агре- 
гатор одного узла принял решение о переключении потока на новый порт, то он посылает 
маркер — служебный кадр определенного формата — агрегатору-напарнику. Тот должен 
прекратить посылать кадры на этот порт, но может «дослать» на него несколько кадров из 
буфера этого порта, если они там уже имеются. Когда буфер очищается, агрегатор-напарник 
посылает маркер-ответ, показывающий, что поток может теперь переключиться на новый 
порт, а старый порт может быть переведен в неактивное состояние. Чтобы кадры-маркеры 
не были переданы протоколу верхнего уровня, в агрегаторе имеются мультиплексоры — 
блоки, которые распознают кадры-маркеры и направляют их в блок «Прием маркеров». 


Агрегирование линий связи является очень популярным средством повышения пропуск- 
ной способности не только в локальных сетях, но и в глобальных. Многие магистрали 
современных глобальных сетей построены с использованием нескольких параллельных 
линий скорости 100 Гбит/с, что позволило строить магистрали с пропускной способностью 
в сотни гигабит в секунду еще до появления портов 400С Есћегпеї (400 Гбит/с). Можно 
ожидать, что с внедрением стандарта 400С Е\Фегпее магистрали станут строиться на не- 
скольких параллельных линиях скорости 400 Гбит/с. 


Виртуальные локальные сети 


Важным свойством коммутатора локальной сети является способность контролировать 
передачу кадров между сегментами сети. По различным причинам (соблюдение прав до- 
ступа, политика безопасности и т. д.) некоторые кадры не следует передавать по адресу 
назначения. 


Ограничения такого типа можно реализовать с помощью пользовательских фильтров 
(см. ранее). Но пользовательский фильтр может запретить коммутатору передачу кадров 
только по конкретным адресам, а широковещательный трафик он в соответствии с алго- 
ритмом работы обязан передать всем сегментам сети. Поэтому сети, созданные на основе 
коммутаторов, иногда и называют плоскими — из-за отсутствия барьеров на пути широко- 
вещательного трафика. Технология виртуальных локальных сетей позволяет преодолеть 
указанное ограничение. 


Виртуальной локальной сетью (Миа! оса! Агеа Меімогк, МАМ) называется группа узлов сети, 
трафик которой, в том числе широковещательный, на канальном уровне полностью изолирован 
от трафика других узлов сети. 


Это означает, что передача кадров между разными виртуальными сетями на основании 
адреса канального уровня невозможна независимо от типа адреса (уникального, группового 
или широковещательного). В то же время внутри виртуальной сети кадры передаются по 
технологии коммутации, то есть только на тот порт, который связан с адресом назначения 
кадра. 


Виртуальные локальные сети могут перекрываться, если один или несколько компьютеров 
входят в состав более чем одной виртуальной сети. На рис. 11.9 сервер электронной почты 
входит в состав виртуальных сетей З и 4. Это означает, что его кадры передаются комму- 
таторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит 
в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он сможет 
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взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема за- 
щищает виртуальные сети друг от друга не полностью — например, широковещательный 
шторм, возникший на сервере электронной почты, затопит и сеть 3, и сеть 4. 
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Виртуальная сеть 1 х / Виртуальная сеть2 х 
/ / \ 
а ғ а ғ 
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Рис. 11.9. Виртуальные локальные сети 


В подобных случаях принято считать, что виртуальная сеть образует домен широковеща- 
тельного трафика по аналогии с доменом коллизий, образуемым повторителями сетей 
Е(ћегпе. 


Назначение виртуальных сетей 


Пример из предыдущего раздела демонстрирует, кроме прочего, что с помощью пользо- 
вательских фильтров можно вмешиваться в нормальную работу коммутаторов и ограни- 
чивать взаимодействие узлов локальной сети в соответствии с требуемыми правилами 
доступа. Однако механизм пользовательских фильтров коммутаторов имеет несколько 
недостатков: 


О Приходится задавать отдельные условия для каждого узла сети, используя при этом 
громоздкие МАС-адреса. Гораздо проще было бы группировать узлы и описывать ус- 
ловия взаимодействия сразу для групп. 


О Невозможно блокировать широковещательный трафик. Широковещательный трафик 
может быть причиной недоступности сети, если какой-то ее узел умышленно или не- 
умышленно с большой интенсивностью генерирует широковещательные кадры. 
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Техника виртуальных локальных сетей решает задачу ограничения взаимодействия узлов 
сети другим способом. 


Основное назначение технологии УТ.АМ состоит в облегчении процесса создания изоли- 
рованных сетей, которые затем обычно связываются между собой с помощью маршрути- 
заторов. Такое построение сети создает мощные барьеры на пути нежелательного трафика 
из одной сети в другую. Сегодня считается очевидным, что любая крупная сеть должна 
включать маршрутизаторы, иначе потоки ошибочных кадров, например широковещатель- 
ных, будут периодически «затапливать» всю сеть через прозрачные для них коммутаторы, 
приводя ее в неработоспособное состояние. 


Достоинством технологии виртуальных сетей является то, что она позволяет создавать полностью 
изолированные сегменты сети путем логического конфигурирования коммутаторов, не прибегая 
к изменению физической структуры. 


До появления технологии УГ.АМ для создания отдельной сети использовались либо фи- 
зически изолированные сегменты коаксиального кабеля, либо не связанные между собой 
сегменты, построенные на повторителях и мостах. Затем эти сети связывались маршрути- 
заторами в единую составную сеть (рис. 11.10). 

„чазаа зарлаа 5“ 

ааа Маршрутизатор 


= = а= >= мз 


ни. а. 
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Рис. 11.10. Составная сеть, состоящая из сетей, построенных на основе повторителей 


Изменение состава сегментов (переход пользователя в другую сеть, дробление крупных 
сегментов) при таком подходе подразумевает физическую перекоммутацию разъемов на 
передних панелях повторителей или на кроссовых панелях, что не очень удобно в больших 
сетях — это требует объемной физической работы, к тому же высока вероятность ошибки. 


Для связывания виртуальных сетей в общую сеть требуется привлечение средств се- 
тевого уровня. Он может быть реализован в отдельном маршрутизаторе или в составе 
программного обеспечения коммутатора, который тогда становится комбинированным 
устройством — так называемым коммутатором 3-го уровня. 


Технология виртуальных сетей долгое время не стандартизировалась, хотя и была реали- 
зована в очень широком спектре моделей коммутаторов разных производителей. Положе- 
ние изменилось после принятия в 1998 году стандарта ІЕЕЕ 802.10, который определяет 
базовые правила построения виртуальных локальных сетей, не зависящие от протокола 
канального уровня, поддерживаемого коммутатором. 
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Создание виртуальных сетей на базе 
одного коммутатора 


При создании виртуальных сетей на основе одного коммутатора обычно используется 
механизм группирования портов коммутатора (рис. 11.11). При этом каждый порт при- 
писывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, 
например, виртуальной сети 1, никогда не будет передан порту, который не принадлежит 
этой виртуальной сети. Впрочем, порт можно приписать нескольким виртуальным сетям, 
хотя на практике так делают редко — пропадает эффект полной изоляции сетей. 
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Рис. 11.11. Виртуальные сети, построенные на одном коммутаторе 


Создание виртуальных сетей путем группирования портов не требует от администратора 
большого объема ручной работы — достаточно каждый порт приписать к одной из несколь- 
ких заранее поименованных виртуальных сетей. Обычно такая операция выполняется 
с помощью специальной программы, прилагаемой к коммутатору. 


Второй способ образования виртуальных сетей основан на группировании МАС-адресов. 
Каждый МАС-адрес, который изучен коммутатором, приписывается той или иной 
виртуальной сети. При существовании в сети множества узлов этот способ требует от 
администратора большого объема ручной работы и по этой причине не получил рас- 
пространения. 


Создание виртуальных сетей на базе 
нескольких коммутаторов 


Рисунок 11.12 иллюстрирует проблему, возникающую при создании виртуальных сетей 
на основе нескольких коммутаторов, поддерживающих технику группирования портов. 
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Рис. 11.12. Построение виртуальных сетей на нескольких коммутаторах 
с группированием портов 


Если узлы какой-либо виртуальной сети подключены к разным коммутаторам, то для под- 
ключения каждой такой сети на коммутаторах должна быть выделена специальная пара 
портов. В противном случае, если коммутаторы будут связаны только одной парой портов, 
информация о принадлежности кадра той или иной виртуальной сети при передаче из 
коммутатора в коммутатор будет утеряна. Таким образом, коммутаторы с группированием 
портов требуют для своего соединения столько портов, сколько виртуальных сетей они 
поддерживают. Порты и кабели используются в этом случае очень расточительно. Кроме 
того, при соединении виртуальных сетей через маршрутизатор для каждой виртуальной 
сети выделяются отдельные кабель и порт маршрутизатора, что также приводит к большим 
накладным расходам. 


Группирование МАС-адресов в виртуальную сеть на каждом коммутаторе избавляет от 
необходимости связывать их по нескольким портам, поскольку в этом случае МАС-адрес 
становится меткой виртуальной сети. Однако этот способ требует выполнения большо- 
го количества ручных операций по маркировке МАС-адресов на каждом коммутаторе 
сети. 


Оба подхода, следовательно, основаны только на добавлении дополнительной информации 
к адресным таблицам коммутатора и в них отсутствует возможность встраивания в пере- 
даваемый кадр информации о принадлежности кадра виртуальной сети. Поэтому широкое 
распространение получил иной подход, основанный на введении в кадр дополнительного 
поля, которое хранит информацию о принадлежности кадра той или иной виртуальной 
локальной сети при его перемещениях между коммутаторами сети. При этом нет необхо- 
димости помнить в каждом коммутаторе о принадлежности всех МАС-адресов составной 
сети виртуальным сетям. Дополнительное поле с пометкой о номере виртуальной сети 
используется только тогда, когда кадр передается от коммутатора к коммутатору, а при 
передаче кадра конечному узлу оно обычно удаляется. При этом модифицируется только 
протокол взаимодействия «коммутатор — коммутатор», а программное и аппаратное обе- 
спечение конечных узлов остается неизменным. 


До принятия стандарта ІЕЕЕ 802.10 существовало много фирменных протоколов этого 
типа, но все они имели один недостаток — оборудование различных производителей при 
образовании УГ.АМ оказывалось несовместимым. Стандарт ІЕЕЕ 802.10 вводит в кадре 
ЕБегпе дополнительный заголовок — тег виртуальной локальной сети. 


Тег виртуальной локальной сети состоит из поля ТСІ (Тад Сотіго! Іпїогтайоп — управляющая 
информация тега) размером в 2 байта и предшествующего ему поля ЕПегТуре, которое является 
стандартным для кадров Ећегпеї и также состоит из 2 байтов (рис. 11.13). 
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Тег МАМ 


Епег 


126 


Рис. 11.13. Структура помеченного кадра Ећегпеї 


Тег УГАМ не является обязательным для кадров Е(ћегпе. Кадр, у которого имеется такой 
заголовок, называют помеченным (гарде Кате). Коммутаторы могут одновременно ра- 
ботать как с помеченными, так и с непомеченными кадрами. Из-за добавления тега УТ.АМ 
максимальная длина поля данных уменьшилась на 4 байта. 


Чтобы оборудование локальных сетей могло отличать и понимать помеченные кадры, для 
них введено специальное значение поля ЕсћегТуре, равное 0х8100. Это значение говорит 
о том, что за ним следует поле ТС, а не стандартное поле данных. Обратите внимание, что 
в помеченном кадре за полями тега УГ.АМ следует другое поле ЕегТуре, указывающее 
тип протокола, данные которого переносятся полем данных кадра. 


В поле ТС] находится 12-битное поле номера (идентификатора) УГАМ, называемого ИО. 
Разрядность поля УІРЮ позволяет коммутаторам создавать до 4096 виртуальных сетей. 
Помимо этого, в поле ТСІ помещено трехбитное поле приоритета кадра. Однобитное 
поле СЕІ было введено с целью поддержания специального формата кадра ТоКеп Кіпе, для 
сетей Етегпе оно должно содержать значение 0. Пользуясь значением УТ] в помеченных 
кадрах, коммутаторы сети выполняют групповую фильтрацию трафика, разбивая сеть на 
виртуальные сегменты, то есть на УГ.АМ. Для поддержки этого режима каждый порт ком- 
мутатора приписывается к одной или нескольким виртуальным локальным сетям, то есть 
выполняется группировка портов. Поле приоритета предназначено для согласованного 
обеспечения качества обслуживания (Оо5) различных классов трафика. Всего может 
поддерживаться до 8 классов трафика (это определяется тремя битами поля), при этом 
коммутаторы могут применять все методы обеспечения Оо5, описанные в главе 6. 


Конфигурирование МАМ 


Существуют различные подходы к конфигурированию виртуальных локальных сетей, 
построенных на нескольких коммутаторах. 


Схема «транк — линия доступа» 


Наиболее распространенным является подход, основанный на понятиях линии доступа 
и транка. 
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‚ Линия доступа связывает порт коммутатора (называемый в этом случае портом доступа) 

‚ с конечным узлом (компьютером, мобильным устройством и т. п.), принадлежащим некоторой 
виртуальной локальной сети. Предполагается, что конечный узел работает с непомеченными 
кадрами, то есть структура МАМ для него прозрачна. 


Транк — это линия связи, которая соединяет между собой порты двух коммутаторов; в общем 
случае через транк передается трафик нескольких виртуальных сетей. 


Коммутаторы, поддерживающие технику УГАМ“, без специального конфигурирования 
по умолчанию работают как стандартные коммутаторы, обеспечивая соединения всех со 
всеми. В сети, образованной такими коммутаторами, все конечные узлы по умолчанию 
относятся к условной сети УГАМ1 с идентификатором УІР, равным 1. Все порты этой 
сети, к которым подключены конечные узлы, по определению являются портами доступа. 
Сеть УГАМ1 можно отнести к виртуальным локальным сетям лишь условно, так как по ней 
передаются непомеченные кадры. Условная сеть УГАМ также называется сетью УГАМ“, 
предлагаемой по умолчанию (Че аи УГАМ), или естественной (пайуе УТ.АМ). 


Чтобы образовать в исходной сети виртуальную локальную сеть, нужно в первую очередь 
выбрать для нее значение идентификатора У О, отличное от 1, а затем, используя команды 
конфигурирования коммутатора, приписать к этой сети те порты, к которым присоедине- 
ны включаемые в нее компьютеры. Порт доступа может быть приписан только к одной 
виртуальной локальной сети. 


Порты доступа получают от конечных узлов сети непомеченные кадры, маркируя их те- 
гом УГАМ, содержащим то значение УІР, которое назначено этому порту. При передаче 
же помеченных кадров конечному узлу порт доступа удаляет тег виртуальной локальной 
сети. Для более наглядного описания вернемся к рассмотренному ранее примеру сети. На 


рис. 11.14 показано, как решается задача избирательного доступа к серверам на основе 
техники УГАМ. 


Будем считать, что поставлена задача обеспечить доступ компьютеров С1 и СЗ к серверам 
51 и 53, в то время как компьютеры С2 и С4 должны иметь доступ только к серверам 52 
и 54. Чтобы решить эту задачу, можно организовать две виртуальные локальные сети, 
УГАМ2 и УГАМЗ (напомним, что сеть УГАМ1 уже существует по умолчанию — это наша 
исходная сеть), приписав один набор компьютеров и серверов к У1.АМ2, а другой — 
к УГАМЗ. Первым шагом в конфигурировании УГАМ2 и УГАМЗ является их активизация 
в каждом из коммутаторов сети. 


Затем к этим сетям УГАМ можно приписать определенные порты, работающие в режиме 
доступа. Для приписывания конечных узлов к определенной виртуальной локальной сети 
соответствующие порты объявляются портами доступа этой сети путем назначения им со- 
ответствующего идентификатора УІР. Например, порт 1 коммутатора 5\М1 должен быть 
объявлен портом доступа УТ.АМ2 путем назначения ему идентификатора У102, то же самое 
должно быть проделано с портом 5 коммутатора 5%1, портом 1 коммутатора 5%2 и портом 1 
коммутатора 5ҰЗ. Порты доступа сети УГАМЗ должны получить идентификатор У ПЛЗ. 


В нашей сети нужно также организовать транки — те линии связи, которые соединяют 
между собой порты коммутаторов. Порты, подключенные к транкам, не добавляют и не 
удаляют теги, а просто передают кадры в неизменном виде. В нашем примере такими 
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Рис. 11.14. Разбиение сети на две виртуальные локальные сети 


портами должны быть порты 6 коммутаторов 51 и 5\2, а также порты З и 4 коммутатора 
5 М/3З. Порты в нашем примере должны поддерживать сети УГАМ№2 и УГАМЗ (и УІАМІ, 
если в сети есть узлы, явно не приписанные ни к одной виртуальной локальной сети). 
Транк может быть сконфигурирован как в «неразборчивом» режиме, когда он передает 
кадры с любым номером УГАМ, так и в избирательном режиме, когда он передает кадры 
только определенных номеров УГАМ. 


Коммутаторы, поддерживающие технологию УГАМ“, осуществляют дополнительную филь- 
трацию трафика. В том случае, если таблица продвижения коммутатора говорит о том, 
что пришедший кадр нужно передать на некоторый порт, перед передачей коммутатор 
проверяет, соответствует ли значение У Г] в теге УГАМ кадра той виртуальной локальной 
сети, которая приписана к этому порту. В случае соответствия кадр передается, несоот- 
ветствия — отбрасывается. Непомеченные кадры обрабатываются аналогичным образом, 
но с использованием условной сети УГАМ1. МАС-адреса изучаются коммутаторами сети 
отдельно по каждой виртуальной локальной сети. 


Схема с гибким конфигурированием портов 


В этой схеме порты не делятся на транки и порты доступа, каждый порт может быть гибко 
сконфигурирован для специфической поддержки кадров УГ.АМ в зависимости от потреб- 
ностей сети. Порт может работать в следующих режимах: 


О Принимать только непомеченные кадры. В этом случае режим соответствует режиму 
порта доступа. 


О Принимать только помеченные кадры. При этом порту могут быть приписаны один или 
несколько номеров УТ.АМ. Этот режим соответствует избирательному режиму работы 
транка. Помеченные кадры передаются без отбрасывания/добавления тега УТ.АМ. 
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О Принимать как помеченные, так и непомеченные кадры. Непомеченные кадры всегда 
принадлежат естественной сети УГ.АМ1 (некоторые модели коммутаторов позволяют 
администратору назначить естественной сети УГАМ произвольный номер, отличный 
от 1). Порту может быть приписан один или несколько номеров УТ.АМ. 


В том случае, когда коммутатор поддерживает образование нескольких логических портов 
для одного и того же физического порта, каждый логический порт может работать в соб- 
ственном режиме. 


В схеме с гибким конфигурированием портов администратору проще производить изме- 
нения в конфигурации виртуальных локальных сетей, так как ему не требуется изменять 
роли портов в сети (например, изменять роль порта доступа на роль транка), но при этом 
увеличивается объем конфигурационных операций. 


Автоматизация конфигурирования МАМА 


В сети, состоящей из большого количества коммутаторов и не разделенной на подсе- 
ти маршрутизаторами, полностью ручное конфигурирование УГАМ может приводить 
к ошибкам из-за несогласованности информации об активных сетях УГ.АМ на различных 
коммутаторах, особенно если их конфигурируют разные администраторы. 


Существует несколько протоколов, позволяющих частично автоматизировать конфигу- 
рирование УГАМ в сети. 


Сіѕсо УГАМ ТтипетЕ Ргоюосо/. Этот протокол является фирменным протоколом компании 
С15со и работает только на ее коммутаторах. Коммутаторы Сіѕсо поддерживают модель 
«транк — линии доступа», а протокол УТР позволяет по транковым связям передавать 
информацию о сетях УГ.АМ, активизированных на одном из коммутаторов, другим ком- 
мутаторам ссти. Поэтому администратору достаточно добавить (или удалить) УТ.АМ на 
одном из коммутаторов сети, после чего все остальные коммутаторы сети получат инфор- 
мацию о добавлении (удалении) УТ.АМ с данным номером и произведут соответствующие 
изменения в своих конфигурационных записях. 


Для удобства администрирования больших сетей в протоколе УТР существует понятие 
домена — все сообщения протокола УТР воспринимаются коммутаторами только одного 
и того же домена (имя домена и его пароль конфигурируются на каждом коммутаторе 
вручную). Приписывание УГАМ порту доступа при работе протокола УТР по-прежнему 
выполняется вручную. Порты, работающие в режиме транка, приписывают номера УГ.АМ 
к транку (работающему в избирательном режиме) динамически. При этом протокол УТР 
автоматически выполняет отсечение номера УГ.АМ для транков некоторого домена, если 
в данном домене этот номер не приписан ни одному из его портов доступа (это свойство 
называется УТР ргипіпе). 


Свои УТР-объявления коммутаторы рассылают с использованием группового адреса. 


САКР УГАМ Керіѕігаііоп Ртоосо! (СУВР). Этот протокол является одним из двух по- 
пулярных приложений протокола САКР (Сепегіс АИгфще Керіѕігайіоп Ргобосо!). Про- 
токол САКР был разработан рабочей группой ІЕЕЕ 802.1 для того, чтобы коммутаторы 
локальной сети могли сообщать друг другу (регистрировать в сети) различные атрибуты. 
На практике этот протокол стали применять для регистрации двух типов атрибутов: до- 
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стижимых через некоторый порт коммутатора групповых МАС-адресов и номеров УГАМ. 
Соответственно появились два приложения протокола САКР: СМКР (САКР Миібісаѕі 
Керіѕігайоп Ргоѓосо]) и СУКР (САКР УГАМ Керіѕігайоп Ргоѓосо]). Так, приложение 
СМКР позволяет коммутаторам отсечь бесполезный трафик с групповыми адресами от 
сегментов сети, в которых нет активных получателей этих адресов. 


Назначение приложения СУКР примерно то же, что у протокола С15со УТР — он позво- 
ляет конфигурировать новую сеть УТ.АМ только на одном из коммутаторов большой сети, 
остальные коммутаторы выполняют изменения в своей конфигурации автоматически, 
получая сообщения СУКР. СУКР является стандартным протоколом и поэтому работает 
на коммутаторах различных производителей, в отличие от фирменного протокола С1$со 
УТР Кроме того, в отличие от УТР он может работать не только на портах-транках, но 
и на портах доступа, к тому же конечные узлы также могут поддерживать СУКР, а значит, 
сетевой адаптер компьютера может инициировать динамическое приписывание номера 
своей сети УГ.АМ у порта доступа. 


Миійріе УГАМ Керіѕіғайіоп Рғоѓосо! (МУКР). Протокол САВР обладал несколькими суще- 
ственными недостатками — в больших сетях он порождал большое количество служебного 
трафика, кроме того, процесс установления новой конфигурации мог длиться слишком 
долго из-за нескольких обязательных тайм -аутов. Поэтому в 2007 году группа ІЕЕЕ 802.1 
заменила САКР протоколом МКР (МшарЕ Керіѕігабіоп Ргоѓосо]). Соответственно про- 
токол МУКР заменил СУКР (а ММКР — СМКР). За счет изменения формата сообще- 
ний и логики обмена ими служебный трафик был сокращен, а время установления новой 
конфигурации уменьшено. 


Альтернативные маршруты в виртуальных 
локальных сетях 


По умолчанию протокол 5ТР/КЅТР образует в сети одно покрывающее дерево для всех 
виртуальных локальных сетей. Чтобы в сети можно было использовать разные покрыва- 
ющие деревья для разных виртуальных локальных сетей, существует специальная версия 
протокола, называемая множественным протоколом покрывающего дерева (Мире 
Ѕраппіпұ Тгее Ргобосо], МЅТР). 


Протокол МЗТР позволяет создать несколько покрывающих деревьев и приписывать 
к ним различные виртуальные локальные сети. Обычно создается небольшое количество 
деревьев, например два или три, чтобы сбалансировать нагрузку на коммутаторы, в про- 
тивном случае, как мы видели в примере на рис. 11.2 и 11.3, единственное покрывающее 
дерево может полностью оставить без работы некоторые коммутаторы сети, то есть недоис- 
пользовать имеющиеся сетевые ресурсы. Если вернуться к ранее рассмотренному примеру 
(см. рис. 11.2), то при создании двух покрывающих деревьев можно сконфигурировать 
приоритеты коммутаторов так, чтобы для одного дерева корневым коммутатором стал 
коммутатор 111, а для второго — коммутатор 222 (рис. 11.15). 


В этом варианте мы подразумеваем, что порты 4 коммутаторов с 555 по 888 сконфигуриро- 
ваны как порты доступа одной виртуальной локальной сети, например УГ.АМ100, а порты З 
тех же коммутаторов — как порты доступа другой виртуальной локальной сети, например 
УГАМ200. Сеть УГАМ1О00 приписана к покрывающему дереву с корневым коммутато- 
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Рис. 11.15. Два покрывающих дерева, построенные по протоколу МТР 


ром 111, а УГАМ200 — к покрывающему дереву с корневым коммутатором 222. В этом 
варианте все коммутаторы сети используются для передачи трафика, что повышает про- 
изводительность сети. Протокол МЅТР основан на протоколе КЅТР, поэтому обеспечивает 
быструю реакцию сети на отказы. 


Ограничения коммутаторов 


Применение коммутаторов позволяет преодолеть ограничения, свойственные сетям с раз- 
деляемой средой. Коммутируемые локальные сети могут покрывать значительные терри- 
тории, плавно переходя в сети мегаполисов; они могут состоять из сегментов различной 
пропускной способности, образуя сети с очень высокой производительностью; они могут 
использовать альтернативные маршруты для повышения надежности и производитель- 
ности. Но построение сложных сетей без маршрутизаторов, лишь на основе коммутаторов, 
имеет существенные ограничения. 


О Серьезные ограничения по-прежнему накладываются на топологию коммутируемой 
локальной сети. Требование отсутствия петель преодолевается с помощью техники 
УТР/КТР/МХТР и агрегирования каналов лишь частично. Действительно, 5ТР не по- 
зволяет задействовать все альтернативные маршруты для передачи пользовательского 
трафика, а агрегирование каналов разрешает так делать только на участках сети между 
двумя соседними коммутаторами. Подобные ограничения не позволяют применять 
многие эффективные топологии, пригодные для передачи трафика. 


О Логические сегменты сети, расположенные между коммутаторами, слабо изолирова- 
ны друг от друга, а именно — не защищены от Так называемых широковещательных 
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штормов. Использование же механизма виртуальных сетей, реализованного во многих 
коммутаторах, хотя и позволяет достаточно гибко создавать изолированные по трафику 
группы станций, изолирует их полностью, то есть так, что узлы одной виртуальной сети 
не могут взаимодействовать с узлами другой виртуальной сети. 


С Всетях, построенных на основе мостов и коммутаторов, достаточно сложно решается 
задача фильтрации трафика на основе данных, содержащихся в пакете. В таких сетях 
фильтрация выполняется только с помощью пользовательских фильтров, для создания 
которых администратору приходится иметь дело с двоичным представлением содер- 
жимого пакетов. 


О Реализация транспортной подсистемы только средствами физического и канального 
уровней приводит к недостаточно гибкой одноуровневой системе адресации: в качестве 
адреса назначения используется МАС-адрес, жестко связанный с сетевым адаптером. 


Ч У коммутаторов ограничены возможности по трансляции протоколов при создании ге- 
терогенной сети. Они не могут транслировать протоколы МАМ в протоколы ГАМ из-за 
различий в системе адресации этих сетей, а также различных значений максимального 
размера поля данных. 


Наличие серьезных ограничений у протоколов канального уровня показывает, что по- 
строение на основе средств этого уровня больших неоднородных сетей является весьма 
проблематичным. Естественное решение в этих случаях — привлечение средств более 
высокого сетевого уровня. 


ГЛАВА 12 Еһегпеї операторского 
класса 


Движущие силы экспансии Еһегпеї 


Классическая технология Е(ћегпе разрабатывалась исключительно как технология ло- 
кальных сетей, и последние до недавнего времени были единственной областью ее при- 
менения. Но бесспорный успех технологии Еќћегпеї в локальных сетях, где она вытеснила 
все иные технологии, привел к напрашивающейся идее о ее использовании в глобальных 
сетях, преимущественно являющихся операторскими. Обозначим потенциальные пре- 
имущества от экспансии Еегпе за пределы локальных сетей. 


Для пользователей технология Е(ћегпеѓ важна в качестве услуги глобальных сетей. За- 
метим, эта услуга может у разных провайдеров называться по-разному — Саггіег Е(ћегпеї, 
Еегпеё УРМ, УРГ5$, ЕМЕ или ЕГАМ№, — но суть от этого не меняется: пользователи 
получают возможность соединения своих территориально рассредоточенных сетей, под- 
ключая их к интерфейсу Е‹ћегпеѓ, предоставляемому провайдером. При этом их сети 
объединяются так же, как они объединяются в пределах офиса, то есть на уровне Еѓћегпеї 
и без привлечения протокола ІР Это означает, что сеть провайдера учитывает только МАС- 
адреса, идентификаторы УТАМ и физический интерфейс пользователя, для того чтобы 
надлежащим образом обеспечить объединение сетей пользователя. При этом пользователи 
имеют дело с хорошо изученной технологией на интерфейсах доступа к сети провайдера, 
то есть интерфейсах ОМІ. Кроме того, при соединении сетей на канальном уровне пользо- 
ватели свободны в [Р-адресации своих сетей, так как при передаче трафика между сетями 
пользователей услуги ЕВегпей операторского класса провайдер не применяет ІР-адреса. 
Таким образом, можно, например, назначить адреса одной и той же [Р-подсети для всех 
сетей пользователей или применить частные ІР-адреса. 


Для провайдеров технология ЕФегпе{ операторского класса важна не только как популяр- 
ная услуга, но и как внутренняя транспортная технология канального уровня, в этом случае 
ее также называют Сагтіег Еегпей Тгапѕрогї (СЕТ) и могут использовать для реализации 
глобальных услуг Еһегпеѓ или же создания надежных, быстрых и контролируемых со- 
единений между маршрутизаторами со скоростями до 400 Гбит/с. 


Привлекательность Е(егпе как внутренней транспортной технологии для операторов 
связи объясняется относительно низкой стоимостью оборудования Есћегпеѓ. Порты 
Есһегпеќ всегда обладали самой низкой стоимостью по сравнению с портами любой другой 
технологии (естественно, с учетом скорости передачи данных портом). Низкая стоимость 
изначально была результатом простоты технологии Еќћегпеѓ, которая предлагает только 
минимальный набор функций по передаче кадров в режиме доставки по возможности 
(с максимальными усилиями), не поддерживая ни контроль над маршрутами трафика, ни 
мониторинг работоспособности соединения между узлами. Низкая стоимость оборудо- 
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вания Епегпе при удовлетворительной функциональности привела к доминированию 
технологии на рынке оборудования локальных сетей, а далее начал работать механизм по- 
ложительной обратной связи: хорошие продажи — массовое производство — еще большее 
удешевление — ит. д. 


Стремление к унификации также относится к силам, ведущим к экспансии Ећегпеї 
в глобальные сети. Сетевой уровень уже давно демонстрирует однородность благодаря 
доминированию протокола 1р, и перспектива получить однородный канальный уровень 
в виде Еегпеє выглядит очень заманчивой. 


Однако все это относится к области желаний, а как обстоит дело с возможностями? Готова 
ли технология Еегпеѓ к новой миссии? Ответ очевиден — в своем классическом виде 
технологии локальной сети не готова. Чтобы успешно работать в сетях операторов связи, 
технология и воплощающее ее оборудование должны обладать определенным набором 
характеристик, среди которых в первую очередь выделяются надежность, отказоустойчи- 
вость, масштабируемость и управляемость. 


Области улучшения Епете{ 


Рассмотрим более подробно те новые свойства, которые необходимо добавить к классиче- 
скому варианту Еһегпеѓ, чтобы превратить Е(ћегпеѓ в транспортную технологию опера- 
торского класса (то есть СЕТ), способную работать в сети провайдера в качестве основного 
транспортного механизма. 


Разделение адресных пространств пользователей 
и провайдера 


Адресное пространство сети современной коммутируемой сети Ефегпей состоит из двух 
частей: значений МАС-адресов конечных узлов и значений идентификаторов локальных 
виртуальных сетей (УТ.АМ), на которые логически разделена сеть. Коммутаторы Ефегпей 
при принятии решения о продвижении кадра учитывают оба адресных параметра. 


Если сеть провайдера будет составлять с сетями пользователей единое целое на уровне 
Есһћегпеї, то такая сеть окажется практически неработоспособной, так как все коммутаторы 
провайдера должны будут в своих таблицах продвижения содержать МАС-адреса всех ко- 
нечных узлов всех пользователей, а также поддерживать принятое каждым пользователем 
разбиение сети на локальные виртуальные сети. Помимо очевидной проблемы количества 
МАС-адресов (для крупного провайдера это значение может доходить до нескольких 
миллионов), есть еще и проблема их уникальности — хотя система назначения адресов 
и призвана предотвратить дублирование «аппаратных» МАС-адресов, существуют еще 
и программируемые адреса, да и ошибки в прошивке аппаратных адресов тоже случаются. 


Применение в сети провайдера пользовательских идентификаторов УГАМ также при- 
водит к проблемам. Пользователям нужно договариваться о согласованном применении 
идентификаторов УТ.АМ, чтобы они были уникальными для каждого пользователя, так 
как только тогда сеть провайдера сможет доставлять кадры нужным пользовательским 
сетям. Представить, как реализовать такую процедуру практически, очень непросто, ведь 
каждый новый пользователь приходит со своими значениями идентификаторов УГАМ, 


378 Часть Ш. Технология Еїћегпеї 


и если заставлять его их переназначать, то можно потерять пользователя. Кроме того, 
стандарт УГ.АМ изначально не был рассчитан на глобальное применение и поэтому в нем 
предусмотрено только 4092 значения метки, что крайне мало для крупного провайдера. 


Если посмотреть, как решаются эти проблемы в сетях провайдеров, построенных на других 
принципах, то мы увидим, что при применении провайдером технологии ІР МАС-адреса 
пользователей вообще не проникают в маршрутизаторы провайдера!, а ІР-адреса поль- 
зователей представлены в таблицах маршрутизаторов в агрегированном виде — прием, 
недоступный для плоских МАС-адресов. 


Маршрутизация, инжиниринг трафика 
и отказоустойчивость 


Операторы связи привыкли к ситуации полного контроля над путями следования трафика 
в своих сетях, что обеспечивают, например, технологии ЗОН и ОТМ. В ІР-сетях степень 
контроля оператора над маршрутами трафика очень низкая, и одной из причин популяр- 
ности технологии МРІ (см. главу 20) служит то, что она привнесла в [Р-сети возмож- 
ности инжиниринга трафика. Другой желательной для операторов характеристикой сети 
является отказоустойчивость маршрутов, то есть возможность быстрого перехода на 
новый маршрут при отказах узлов или линий связи сети. Технологии 5ОН и ОТМ всегда 
были в этом плане эталоном, обеспечивая переход с основного на заранее проложенный 
резервный путь за десятки миллисекунд. 


В сетях Еегпе{ маршрутизация трафика и отказоустойчивость обеспечиваются про- 
токолом покрывающего дерева (5ТР). Этот протокол дает администратору сети очень 
ограниченный контроль над выбором маршрута (это справедливо и для новых вариантов 
ОТР, таких как К5ТР и МЅТР). Кроме того, покрывающее дерево является общим для всех 
потоков независимо от их адреса назначения. Ввиду этих особенностей протокол ЅТР/ 
КТР является очень плохим решением в отношении инжиниринга трафика. И хотя 5ТР 
обеспечивает отказоустойчивость маршрутов, причем новая версия КЅТР значительно 
сократила время переключения на новый маршрут (с нескольких десятков секунд до 
одной-двух), до миллисекундного диапазона ЗОН ей очень далеко. Все это требует ново- 
го подхода к маршрутизации потоков в сетях СЕТ, и ІЕЕЕ работает над этой проблемой. 


Функции эксплуатации, администрирования 
и обслуживания 


Функции эксплуатации, администрирования и обслуживания (Орегайоп, Айтіпіѕігайоп, 
Манцепапсе, ОАМ) всегда были слабым звеном ЕФегпе, и это одна из главных причин, 
по которой операторы связи не хотели применять эту технологию в своих сетях. Новые 
стандарты, предлагаемые ЕЕЕ и ГТО-Т, призваны исправить эту ситуацию, вводя средства, 
с помощью которых можно выполнять мониторинг достижимости узлов, локализовывать 
неисправные сегменты сети и измерять уровень задержек и потерь кадров между узлами сети. 


1 Если быть педантичным, то нужно сделать оговорку: за исключением МАС-адресов пограничных 
интерфейсов пользовательских маршрутизаторов, которые попадают в АКР-таблицы интерфейсов 
пограничных маршрутизаторов провайдера в случае, если это интерфейсы Ефегпей. 
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Подытоживая, отметим, что первая область связана с решением проблемы использования 
Е(Бегпее для оказания пользовательских услуг, а две остальные — с приданием ЕФегпей 
функциональности, необходимой для применения Есћегпеѓ в качестве внутренней транс- 
портной технологии оператора связи. 


Функции ОАМ в Еіһћегпеї 
операторского класса 


Начнем рассмотрение улучшений Еегпей с группы функций ОАМ. К настоящему времени 
разработано несколько стандартов, относящихся к функциям эксплуатации, администриро- 
вания и обслуживания, необходимых для превращения Ефегпе в Ефегпе{ операторского 
класса: 


Ч ТЕЕЕ 802.1ар. Соппесиуцку Еашє Мапаретепе (СЕМ). Стандарт описывает протокол 
мониторинга состояния соединений (в какой-то степени это аналог протокола ВЕР, 
рассмотренного в главе 20). 


Ц ТТУ-Т У. 1731. Стандарт комитета ІТО-Т воспроизводит функции стандарта ІЕЕЕ 
802.1аё СЕМ, расширяя их за счет группы функций мониторинга параметров Оо5. 


С ТЕЕЕ 802.3Заһ. Стандарт тестирования физического соединения Е(ћегпеї. 
О МЕРЕ-ГМТ. Интерфейс локального управления ЕФегпей. 


Протокол СЕМ 


Протокол СЕМ обеспечивает мониторинг логических соединений Еїћегпеѓ и ориенти- 
руется на технику виртуальных локальных сетей (УГАМ). Под логическим соединением 
в нем понимается соединение узлов, принадлежащих одной сети УГАМ. Протокол СЕМ 
рассчитан на тестирование соединений любой топологии (двухточечной, звездообразной, 
полносвязной) и может выполнять мониторинг как в сети, принадлежащей одному про- 
вайдеру (однодоменный сценарий), так и в тех случаях, когда соединение проходит через 
сети нескольких провайдеров (многодоменный сценарий). Мониторинг выполняется 
между так называемыми конечными точками обслуживания (Маіпѓепапсе Епа Рой, 
МЕР), представляющими собой конечные точки соединения, состояние которого нужно 
наблюдать. Точки МЕР располагаются на интерфейсах коммутаторов сети Е(ћегпеї, то есть 
мониторинг выполняется между двумя интерфейсами коммутаторов сети. 


Каждая из точек МЕР периодически посылает сообщения проверки непрерывности со- 
единения (Сопипику Сһеск Меѕѕаре, ССМ), оформленные как кадры сети УТ.АМ, соедине- 
ния которой тестируются. Например, если наблюдается соединение УТ.АМ 5, то сообщения 
ССМ оформляются как кадры Есћегпеѓ с идентификатором УГАМ, равным 5. Соединение 
между точками МЕР тестируется отдельно в каждом направлении. Мониторинг СЕМ 
осуществляется путем активных измерений, так как для его реализации генерируются 
служебные сообщения ССМ, а не используются кадры пользовательского трафика (см. 
главу 5). Устройства, которые не имеют точек МЕР, передают сообщения ССМ транзитом. 
Если некоторая точка МЕР не принимает сообщений ССМ от другой точки МЕР в течение 
заданного тайм-аута, то соединение считается неработоспособным. 
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В промежуточных устройствах, через которые проходит соединение, можно сконфигу- 
рировать промежуточные точки обслуживания (Маіпѓепапсе Іпѓіегтейіаќе Роіпі, МІР). 
Эти точки помогают локализовать проблему, собирая статистику о проходящих через них 
транзитом сообщениях ССМ, сами они такие сообщения не генерируют. Помощь МІР 
состоит в том, что при наличии проблемы (то есть в том случае, когда сообщения ССМ 
не проходят от одной точки МЕР до другой) факт прохождения сообщений ССМ через 
некоторую точку МТР говорит о том, что данный сегмент сети работоспособен и причину 
проблемы нужно искать в другом сегменте. На рис. 12.1 показан пример мониторинга 
состояния соединения локальной виртуальной сети УГАМ“ 5, имеющей полносвязную 
топологию, поэтому компьютеры С1, С2 и СЗ могут взаимодействовать между собой по 
принципу «каждый с каждым». Для мониторинга сети УТ.АМ5 созданы точки МЕР1, МЕР2 
и МЕРЗ, располагающиеся на интерфейсах коммутаторов $1, 52 и $5 соответственно. 


Рис. 12.1. Мониторинг состояния МАМ с помощью протокола СЕМ 


Чтобы осуществлять мониторинг соединений полносвязной топологии, присущей УТ.АМ 5, 
сообщения ССМ посылаются с групповым МАС-адресом. Для мониторинга двухточечных 
соединений могут использоваться как индивидуальные, так и групповые МАС-адреса. 
В нашем примере точка МЕР1 периодически посылает в сеть УГАМ 5 сообщения ССМ 
с групповым адресом. Если сеть УГ.АМ 5 работоспособна, то точки МЕР2 и МЕРЗ регуляр- 
но получают сообщения ССМ, отправляемые точкой МЕР1. Также регулярно передаются 
и принимаются сообщения ССМ, генерируемые точками МЕР? и МЕРЗ. В результате 
протокол СЕМ определяет статус сети УГАМ 5 как полностью работоспособной. 


Предположим теперь, что в сети произошел отказ физического соединения между комму- 
таторами $4 и 55. Вследствие этого точка МЕРЗ перестает принимать сообщения ССМ от 
точек МЕР1 и МЕР2, а они, в свою очередь, — сообщения ССМ от точки МЕРЗ. В то же 
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время точки МЕР1 и МЕР2 по-прежнему продолжают обмениваться сообщениями ССМ. 
Результатом мониторинга будет переход соединения УГАМ 5 в состояние частичной ра- 
ботоспособности, когда только часть узлов оказывается достижимой. 


Покажем теперь полезность наличия МІР в сети. Предположим, что в сети, показанной 
на рис. 12.1, связь между коммутаторами $4 и $5 восстановлена, но по какой-то причине 
потеряна связь между коммутаторами $3 и 54. Точка МЕР1 при этом перестает принимать 
сообщения от точки МЕРЗ, а точка МЕРЗ — от точки МЕРІ (для упрощения анализа мы 
сейчас игнорируем точку МЕР? и контролируемую ею часть сети). Ясно, что точки МЕР1 
и МЕРЗ фиксируют нарушение связности между собой, но их информация не позволяет 
судить о том, где конкретно в сети возникла проблема — отказ мог произойти в любом из 
трех сегментов сети между коммутаторами 51 и $5. Но так как в сети имеются точки МІР, 
то администратор может проанализировать их статистику. Статистика МІР1 покажет, 
что через эту точку по-прежнему проходят сообщения ССМ от МЕРІ, но не проходят 
сообщения МЕРЗ. Статистика МІР2 покажет обратную картину — наличие сообщений 
от МЕРЗ, но не от МЕР. Эти данные свидетельствуют о том, что связь потеряна между 
коммутаторами 33 и 54. 


Весьма важной является способность протокола СЕМ работать в многодоменной среде, когда 
соединение проходит через несколько сетей, принадлежащих разным административным до- 
менам. Каждый из администраторов домена нуждается в мониторинге соединения, но только 
в пределах своей сети. 


Для поддержки мониторинга состояния соединений в многодоменной сети для протокола 
СЕМ конфигурируется отдельный домен мониторинга, при этом домены мониторинга об- 
разуют иерархию доменов различного уровня мониторинга. В каждом домене создаются 
точки обслуживания МЕР и МІР но точки каждого домена работают только с сообщени- 
ями ССМ своего уровня, а сообщения более высоких уровней просто прозрачно передают. 
Эту идею иллюстрирует рис. 12.2. Здесь показана сеть, состоящая из доменов различных 
типов: домена пользователя, домена провайдера услуги виртуальной частной сети и до- 
мена оператора связи, через который работает сеть провайдера услуги. В сети имеется три 
домена операторов: оператора А, оператора В и оператора С. Домены операторов вложены 
в домен провайдера услуг, который предоставляет пользователю услуги виртуальной ло- 
кальной сети «из конца в конец». И наконец, на верхнем уровне находится домен пользо- 
вателя, в который входит домен провайдера услуги. 


Домен пользователя: уровень 7 


Домен провайдера услуги: уровень 5 


Домен оператора А 
уровенё’3 


\ — МЕР Ө —МР 


Рис. 12.2. Многодоменное применение протокола СЕМ 
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Домену пользователя присвоен уровень 7, домену провайдера — уровень 5, домену опера- 
тора связи — уровень 3. Точки МЕР на интерфейсах оборудования оператора связи рабо- 
тают с сообщениями ССМ уровня 3, а сообщения точек обслуживания сети пользователя 
уровня 7 и сети провайдера услуги уровня 5 они передают прозрачно. Аналогично, точки 
провайдера услуги работают на интерфейсах его оборудования на уровне 5 и прозрачно 
передают сообщения ССМ уровня домена пользователя 7. Сообщения уровня 3 до точек 
МЕР уровня 5 не доходят, так как завершаются в точках МЕР уровня 3. 


В результате каждый оператор связи получает информацию о состоянии соединения 
в пределах своей сети, провайдер — в пределах своей, а пользователь соединения — «из 
конца в конец». Такой иерархический способ организации сеансов между точками МЕР 
дает возможность проводить независимый мониторинг одного и того же соединения раз- 
личными организациями без необходимости координировать конфигурацию точек мони- 
торинга — достаточно согласовать используемые каждой организацией уровни точек МЕР 
Обязательным условием является вложенность доменов каждого уровня в домен более 
высокого уровня иерархии. 


Протокол мониторинга качества 
соединений Ү. 1731 


Стандарт Ү.1731, разработанный ГТО-Т, добавляет к стандарту СЕМ возможность измерять 
следующие дополнительные параметры между точками мониторинга сети: 


О Односторонняя задержка кадра. Для ее измерения точки обслуживания сети МЕР ге- 
нерируют сообщения измерения задержки и ответа на измерение задержки, в которых 
переносятся временные отметки, позволяющие измерить задержку. 


О Вариация задержки. Эта задержка измеряется на основе тех же сообщений, что и одно- 
сторонняя задержка. 


О Потери кадров. Для измерения этой величины служат сообщения измерения потерь 
и ответа на измерение потерь. Счетчики сообщений двух точек обслуживания срав- 
ниваются, и на основе этого сравнения рассчитываются потери кадров в каждом из 
направлений. 


Стандарт тестирования физического 
соединения Еїһегпеї 


Стандарт тестирования физического соединения Ефегпе ІЕЕЕ 802.3аһ предназначен для 
обнаружения ошибок соединения между двумя непосредственно физически связанными 
интерфейсами Еғһегпеѓ. Он поддерживает такие функции, как удаленное обнаружение 
неисправностей и удаленный контроль обратной связи. Последняя функция является 
наиболее интересной для специалистов, занимающихся эксплуатацией сетей Ефегпе, по- 
скольку позволяет удаленно (через сеть) выдать запрос некоторому интерфейсу ЕФегпе 
на переход в режим обратной связи. В данном режиме все кадры, посылаемые на этот 
интерфейс соседом по линии связи, возвращаются им обратно. Полученные кадры затем 
можно проанализировать, чтобы установить качество физической линии. 


Глава 12. Епегпе! операторского класса 383 


Необходимо отметить, что процедура тестирования линии в режиме обратной связи на- 
рушает нормальную работу соединения, поэтому тестирование нужно проводить в специ- 
альное время, отведенное для обслуживания сети. 


Интерфейс локального управления Еїһегпеї 


Стандарт Е-Г. МТ позволяет пограничному пользовательскому устройству, то есть устрой- 
ству типа СЕ, запрашивать информацию о состоянии и параметрах услуги, предостав- 
ляемой сетью провайдера по данному интерфейсу. Например, пограничный коммутатор 
Есћегпеѓ, расположенный в сети пользователя, может запросить у пограничного комму- 
татора провайдера информацию о состоянии услуги (работоспособности соединения), 
предоставляемой по данному интерфейсу. Кроме того, согласно стандарту Е-С МТ, по за- 
просу можно получить такую информацию об услуге, как отображение идентификатора 
УГАМ пользователя на данное соединение, или же величину пропускной способности, 
гарантированной для данного соединения. 


Мосты провайдера 


Стандарт ІЕЕЕ 802.1 ай на мосты провайдера (Ргоуійег Вгійре, РВ) был первым стан- 
дартом, который решал проблему изоляции адресного пространства сети провайдера от 
адресного пространства его пользователей. Этот стандарт был принят ІЕЕЕ в 2005 году 
и сегодня реализован в коммутаторах Ећегпеї многих производителей. Но проблема 
изоляции адресных пространств решается в этом стандарте лишь частично, так как МАС- 
адреса пользователей по-прежнему присутствуют в коммутаторах сети провайдера, а раз- 
деляются только пространства идентификаторов УГАМ. 


Стандарт РВ вводит двухуровневую иерархию идентификаторов УГАМ (рис. 12.3). На 
внешнем (верхнем) уровне располагается идентификатор УГАМ провайдера, называемый 
$-УШ (от Ѕегуісе УГАМ ГГ — идентификатор сервиса УГАМ), а на нижнем (внутреннем) 
уровне — идентификатор УГАМ пользователя, называемый С-УШ (от Сизюотег УГАМ 
[Г — идентификатор УГАМ потребителя). 


Идентификатор $-УІР помещается в пользовательский кадр пограничным коммутатором 
провайдера — он проталкивает С-УТО в стек и добавляет новый идентификатор $-УІР, 
который потребуется коммутаторам сети провайдера для разделения трафика на вирту- 
альные локальные сети провайдера. Так как $-У ТО представляет собой новое поле кадра 
Есћегпеѓ, то ему предшествует новое поле типа Е{егТуре, которое на рис. 12.3 обозначено 
как $5-УІР-ЕсћегТуре (в отличите от оригинального поля С-У Ш-ЕегТуре). Чтобы раз- 
личать 5-У 1 и С-УІР, стандарт 802.1а4 вводит новое значение ЕћегТуре для типа данных 
5-УІР, равное 0х88а8 (напомним, что для С-У ТО значение Е\фегТуре равно 0х8100). Этот 
способ инкапсуляции часто неформально называют инкапсуляцией О-т-О, по названию 
стандарта 802.10, описывающего технику УГАМ“. 


После того как пограничный коммутатор сети провайдера выполняет инкапсуляцию 
О-іп-О, кадр обрабатывается магистральными коммутаторами провайдера как обычный 
кадр, то есть в соответствии с внешним идентификатором УГАМ в поле 5-У О. Когда 
кадр прибывает на выходной пограничный коммутатор провайдера, над ним выполняется 
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Рис. 12.3. Инкапсуляция идентификаторов МАМ 


обратная операция — идентификатор $-У Ш удаляется. После этого кадр отправляется 
в сеть пользователя в исходном виде, имея в своем заголовке только идентификатор С-УТО. 


Внутренние сети МАМ“ провайдера, соответствующие значениям идентификаторов 5-МЮО, обычно 
служат для конструирования услуг частных виртуальных сетей. При этом провайдеру нет необхо- 
димости согласовывать логическую структуру своей сети с пользователями. 


На рис. 12.4 показана сеть провайдера, которая соединяет сайты (так обычно называют сети 
пользователя при оказании глобальной услуги Еќћегпеѓ) двух пользователей. Сайты СТ, 
СЗ и С5 являются сайтами пользователя А, они объединяются в сеть с идентификатором 
5-УІР, равным 156, а сайты С2, С4 и Сб являются сайтами пользователя В, они объеди- 
няются в сеть с идентификатором $-У ТО, равным 505. 


Конфигурирование услуг сетей 156 и 505 выполнено без учета значений пользовательских 
идентификаторов УГАМ№ на основании подключения сайта пользователя к некоторому 
физическому интерфейсу коммутатора провайдера. Так, например, весь пользовательский 
трафик, поступающий от сайта С1, классифицируется пограничным коммутатором РЕЇ1 как 
принадлежащий виртуальной частной сети с идентификатором $-УІР, равным 156. В то же 
время стандарт РВ позволяет провайдеру предоставлять услуги и с учетом значений поль- 
зовательских идентификаторов УГАМ“. Так, если внутри сайта С1 выполнена логическая 
структуризация и существуют две пользовательские сети УТ.АМ, трафик которых нельзя 
смешивать, то провайдер может организовать для этого две сети 5$-УТ.АМ и отображать на 
них поступающие кадры в зависимости от значений С-УТО. Но при своей очевидной по- 
лезности стандарт РВ имеет несколько недостатков: 
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Ц Коммутаторы сети провайдера, как пограничные, так и магистральные, должны изучать 
МАС -адреса узлов сетей пользователей. Это не является масштабируемым решением. 


О Максимальное количество услуг, предоставляемых провайдером, ограничено числом 
4096 (так как поле $-УТО имеет стандартный размер 12 бит). 


О Инжиниринг трафика ограничен возможностями протокола покрывающего дерева 
КТР/МЗТР. 


Ц Для разграничения деревьев 5ТР, создаваемых в сетях провайдера и пользователей, 
в стандарте 802.1аа пришлось ввести новый групповой адрес для коммутаторов про- 
вайдера. Это обстоятельство не позволяет задействовать в качестве магистральных 


коммутаторов провайдера те коммутаторы, которые не поддерживают стандарт 
802.1а4. 


Рис. 12.4. Сеть стандарта РВ, предоставляющая услуги соединения 
сайтов двух пользователей 


Некоторые из этих недостатков были устранены в стандарте на магистральные мосты про- 
вайдера ІЕЕЕ 802.1аһ, принятом в 2008 году. 


Магистральные мосты провайдера 


В стандарте ІЕЕЕ 802. 1аћ на магистральные мосты провайдера (Ртоуійег ВаскБопе Вгійрезѕ, 
РВВ) адресные пространства пользователей и провайдера разделяются за счет того, что 
пограничные коммутаторы провайдера полностью инкапсулируют пользовательские кадры 
ЕБегпе в новые кадры Е(ћегпеѓ, которые затем применяются в пределах сети провайдера 
для доставки пользовательских кадров до выходного пограничного коммутатора. 
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Формат кадра РВВ 


При передаче кадров Ећегпеѓ через сеть РВВ в качестве адресов назначения и источника 
используются МАС-адреса пограничных коммутаторов (ВаскБопе Ере Вгійреѕ, ВЕВ) 
провайдера. По сути, в сети провайдера работает независимая иерархия Е(ћегпеї со свои- 
ми МАС-адресами и делением сети на виртуальные локальные сети (УГАМ) так, как это 
удобно провайдеру. Из-за двух уровней МАС-адресов в кадрах провайдера стандарт РВВ 
получил также название МАС-т-МАС. 


Формат кадра при такой инкапсуляции показан на рис. 12.5. Здесь предполагается, что 
сеть РВВ провайдера принимает кадры от сетей РВ (возможно, другого провайдера), ко- 
торые, в свою очередь, соединены с сетями пользователя. В этом случае в поступающих 
на пограничные коммутаторы сети РВВ кадрах имеется идентификатор $-УІР, добав- 
ленный входным пограничным коммутатором сети РВ. Наличие идентификатора 5-УІр 
во входных кадрах не является необходимым условием работы сети РВВ (это один из 
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Рис. 12.5. Формат кадров при инкапсуляции МАС-т-МАС согласно стандарту ІЕЕЕ 802.1аһ 
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возможных вариантов); если сеть РВВ непосредственно соединяет сети пользователей, 
то входящие кадры поля $-УТО не имеют. Поле $-УІР” не используется при продвижении 
кадров в сети РВВ, как будет показано далее. 


Входной пограничный коммутатор сети РВВ добавляет к принимаемому кадру шесть 
новых полей, из которых четыре поля представляют собой стандартный заголовок нового 
кадра, в поле данных которого упакован принятый кадр. В этом заголовке МАС-адресами 
назначения и источника являются адреса выходного и входного пограничных коммута- 
торов сети, которые на рис. 12.5 обозначены как В-МАС ПА и В-МАС ЅА соответственно 
(буква «В» в этих обозначениях появилась от слова «БаскБопе» — магистральный). Адреса 
В-МАС идентифицируют коммутатор провайдера в целом как узел, являясь аналогом [Р- 
адреса обратной связи маршрутизатора. 


Адреса В-МАС используются в пределах сети РВВ вместе с идентификатором виртуаль- 
ной локальной сети В-УІР” для передачи кадров в соответствии со стандартной логикой 
локальной сети, разделенной на сегменты УГАМ, и при этом совершенно независимо от 
адресной информации сетей пользователя. В качестве значения Е{ТегТуре для В-УІр 
стандарт РВВ рекомендует применять значение 0х88а8, как и для $-УІ” в стандарте РВ, 
но допустимы и другие значения, например, стандартное для С-УТО значение 0х8100 
(как и для сетей РВ, эта возможность зависит от решения производителя оборудования). 
Пользовательские МАС-адреса, а также идентификаторы $-УІР и С-УІР находятся в поле 
данных нового кадра и при передаче между магистральными коммутаторами сети РВВ 
никак не используются. 


Двухуровневая иерархия соединений 


Полная инкапсуляция приходящих кадров не является единственным новшеством стандар- 
та на РВВ. Другим усовершенствованием этого стандарта является введение двухуровне- 
вой иерархии соединений между пограничными коммутаторами. Это служит обеспечению 
масштабируемости технологии при обслуживании большого количества пользовательских 
соединений. 


Для этого в кадр РВВ введено поле 1-510 с предшествующим ему полем [-510 ЕегТуре 
(с рекомендованным значением 0х88е7). Значение идентификатора 1-510 (шЮгтайоп 
Ѕегуісе [4епийсабог — идентификатор информационного сервиса) должно указывать на 
пользовательское соединение (виртуальную частную сеть пользователя) в сети РВВ. Так 
как сеть РВВ делится на сегменты В-УГАМ, то соединения 1-ГО являются логическими 
соединениями внутри этих сегментов. Роль сегментов В-УГ.АМ состоит в предоставлении 
транспортных услуг соединениям 1-511, они являются своего рода туннелями. В каждой 
сети В-УГАМ может насчитываться до 16 миллионов соединений [-510 (это значение 
определяется форматом поля [-5ТО, состоящего из 24 разрядов). 


Двухуровневый механизм В-МОЛ-$10 рассчитан на то, что в сети провайдера будет небольшое 
количество сегментов В-МІАМ“, которые направляют потоки пользовательских данных, идущих по 
логическим соединениям 1-510, по нужным маршрутам. 


Назначение идентификатора 1-51] в сети РВВ аналогично назначению идентификатора 
5-УІР” в сети РВ — оба определяют виртуальную сеть пользователя в сети провайдера. 
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Этот факт объясняет также необязательность наличия поля 5-У [О в кадрах пользователя, 
поступающих на входные интерфейсы сети РВВ — это поле является только одним из при- 
знаков, учитываемых при отображении кадров пользователя на некоторую виртуальную 
сеть пользователя, существующую в сети провайдера. Если поле 5-У Г] в кадрах пользо- 
вателя отсутствует, то для отображения используются другие признаки — МАС-адреса, 
значение поля С-УІР или номер интерфейса, с которого поступают кадры пользователя. 


На рис. 12.6 показана сеть провайдера, оказывающая услуги Е(ћегпеѓ своим клиентам на 
основе стандарта на РВВ. Она состоит из пограничных коммутаторов (ВасКБопе Ед5е 
Вгіаре, ВЕВ) и магистральных коммутаторов (ВаскЬопе Соге Вгійре, ВСВ). 


В-МАС-2 (оз) 
В-МАС-1 


Сеть провайдера 


В-МАС-3 7 \ 


Рис. 12.6. Организация услуг в сети РВВ 


Провайдер в этом примере предоставляет услуги трех виртуальных сетей: 
О ТАМ — передает голосовой трафик между сетями С1 и СЗ (двухточечная топология); 
О ГАМ2 — передает голосовой трафик между сетями С2 и С4 (двухточечная топология); 


Ц ГАМЗ — передает эластичный трафик данных между сетями С2, С4 и Сб (полносвязная 
топология). 


Пользовательские сети непосредственно подключены к сети РВВ, промежуточных сетей 
РВ вэтом примере нет. 


На верхнем уровне структуризации сети провайдера в ней сконфигурированы две маги- 
стральные виртуальные локальные сети (В-УТ.АМ) с идентификаторами 1007 и 1033 (обо- 
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значены как В-УІР 1007 и В-УІР 1033 соответственно). В нашем примере различные сети 
В-УГАМ призваны поддерживать трафик разного типа: В-УГАМ 1007 поддерживает более 
требовательный голосовой трафик, а В-УГ.АМ 1033 — менее требовательный эластичный 
трафик данных. В соответствии с этим назначением созданы и два покрывающих дерева 
для каждой из виртуальных сетей В-УГАМ. Естественно, что назначение сетей В-УГАМ 
может быть иным — оно полностью определяется оператором сети РВВ в соответствии 
с его потребностями. 


На уровне пользовательских услуг в сети организовано три пользовательских соединения, 


помеченных как [-5 1 56, 144 и 108. Эти соединения предназначены для реализации услуг 
ГАМ1, ГАМ2 и ГАМЗ соответственно. 


Соединения 1-51р 56 и 144 отображаются пограничными коммутаторами ВЕВ1 и ВЕВ2 на 
сеть В-УГАМ 1007, так как эти соединения переносят пользовательский голосовой трафик, 
а данная сеть В-УГ.АМ создана для этого типа трафика. В то же время соединение [1-51 108 
отображается пограничными коммутаторами ВЕВ1, ВЕВ2 и ВЕВЗ на сеть В-УГАМ 1033, 
так как сервис 108 переносит эластичный пользовательский трафик данных. Задает эти 
отображения администратор при конфигурировании пограничных коммутаторов. 


Завершает процесс конфигурирования услуг [.АМ1, [.АМ2 и Г.АМЗ отображение пользова- 
тельского трафика на соответствующие соединения 1-5). Это отображение также задает 
администратор сети при конфигурировании пограничных коммутаторов ВЕВ. При ото- 
бражении пользовательского трафика администратор может учитывать только интерфейс, 
по которому трафик поступает в сеть провайдера. В нашем примере таким способом за- 
дано отображение для сервиса с 1-510 56, который монопольно использует интерфейсы 
коммутаторов ВЕВ1 и ВЕВ2, не разделяя их с другими сервисами. В том случае, когда на 
один и тот же интерфейс поступает трафик более одного сервиса, при отображении нужно 
также учитывать значение С-УІР (в нашем примере поле 5-УІР в пользовательских кадрах 
отсутствует, так как пользовательские сети соединены с сетью РВВ непосредственно, без 
промежуточной сети типа РВ). Этот случай имеет место для сервисов с 1-5 144 и 108, так 
как они разделяют один и тот же интерфейс коммутаторов ВЕВ1 и ВЕВ2. Поэтому такие 
отображения нужно конфигурировать с учетом значений С-УІР: С-УІР” 305 отображается 
на 1-5) 144, а С-УІР 500 — на 1-5 108. 


Пользовательские МАС-адреса 


Теперь рассмотрим вопрос применения пользовательских МАС-адресов в сети РВВ. 


Магистральным коммутаторам сети РВВ знание пользовательских адресов не требует- 
ся, так как они передают кадры только на основании комбинации В-МАС/В-УТО. А вот 
поведение пограничных коммутаторов в отношении пользовательских МАС-адресов 
зависит от топологии сервиса, предоставляемого сетью РВВ своим пользователям. При 
отображении кадров сервиса с двухточечной топологией на определенное соединение 
[-51р пограничные коммутаторы не применяют пользовательские МАС-адреса, так как 
все кадры, независимо от их адресов назначения, передаются одному и тому же выходному 
пограничному коммутатору. Так, для сервисов с 1-5) 56 и 144 коммутатор ВЕВ1 всегда 
задействует МАС-адрес коммутатора ВЕВ2 в качестве В-МАС РА при формировании не- 
сущего (нового) кадра, переносящего инкапсулированный пользовательский кадр через 
сеть РВВ. Однако при отображении кадров сервиса со звездообразной или полносвязной 
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топологией у входного коммутатора всегда существует несколько выходных пограничных 
коммутаторов, поддерживающих этот сервис. Например, у входного коммутатора ВЕВ1 
при обслуживании кадров сервиса [-5$1Ш 108 есть альтернатива — отправить пришедший 
кадр коммутатору ВЕВ2 или ВЕВЗ. 


Для принятия решения в таких случаях используется информация, находящаяся в поль- 
зовательских МАС-адресах. Пограничные коммутаторы ВЕВ, поддерживающие сервисы 
со звездообразной и полносвязной топологиями, изучают пользовательские МАС-адреса 
и посылают кадр выходному коммутатору, связанному с той сетью пользователя, в которой 
находится МАС-адрес назначения С-МАС ПА. Так, в нашем примере коммутатор ВЕВ1 
изучает адреса С-МАС ЅА кадров, поступающих через сервис 1-510 108, чтобы знать, под- 
ключены ли узлы с этими адресами к ВЕВ2 или ВЕВЗ. В результате ВЕВ1 создает таблицу 
продвижения (табл. 12.1), на основании которой коммутатор по адресу назначения С-МАС 
выбирает соответствующий адрес выходного пограничного коммутатора и помещает его 


в формируемый кадр — например, для кадра с адресом назначения С-МАС-2 это будет 
В-МАС-2. 


Таблица 12.1. Таблица продвижения для сервиса 1-510 108 


арен 


Если же пользовательский адрес назначения еще не изучен, то коммутатор ВЕВ1 поме- 
щает в поле В-МАС широковещательный адрес. Таким же образом обрабатываются кадры 
с широковещательным пользовательским адресом. 


Маршрутизация и отказоустойчивость 
в сетях РВВ 


Для нормального функционирования сети РВВ ее активная топология должна быть сво- 
бодна от петель, при этом сеть должна обеспечивать отказоустойчивость, то есть топология 
сети должна автоматически изменяться в случае отказов линий связи или коммутаторов 
сети. 


В сетях Еегпее для этой цели применяется протокол покрывающего дерева ЗТР, он же 
может быть применен и в сетях РВВ вего версии М$ТР, строящей отдельное дерево для 
каждой магистральной сети УГАМ (определяемой значением В-УТ). Как вы знаете из ма- 
териала главы 11, у протокола ТР есть несколько принципиальных недостатков, таких как 
неоптимальность маршрутов и слишком длительное время установления новой активной 
топологии. Для преодоления недостатков протокола $ТР рабочей группой ІЕЕЕ 802.1аа 
был создан протокол маршрутизации с коммутацией по кратчайшему пути (Ѕћогїеѕї Расћ 
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Вгійріпе, ЗРВ). Он основан на протоколе маршрутизации 15-15, который представляет со- 
бой протокол маршрутизации, учитывающий состояние связей (см. главу 17). 


Выбор протокола 18-15 для применения в сетях Е{Бегпе{ объясняется тем, что он соз- 
давался как гибкий протокол маршрутизации, способный работать в различных стеках 
протоколов. Протокол 18-15 может передавать свои сообщения непосредственно в кадрах 
канального уровня, не используя пакеты ІР и сообщения ТСР или ОПР Кроме того, для 
идентификации связей сети он может использовать адресную информацию разного типа. 
В том случае, когда 15-15 работает в сети ІР, он применяет для идентификации связи [Р- 
адреса ее конечных точек. При работе в сети Ећегпеѓ 15-15 (точнее — сети ЅРВ, работаю- 
щий на основе 185-15) использует для этой цели МАС-адреса. 


Группа 802.1аа разработала два варианта протокола ЗРВ — ЗРВУ (ЅРВ УГАМ) и $РВМ 
(5РВ МАС). Вариант 5РВУ предназначен для пользовательских сетей, то есть сетей 
с общим пространством МАС-адресов и одним уровнем виртуальных локальных сетей. 
Вариант 5РВМ предназначен для сетей РВВ с инкапсуляцией МАС-т-МАС, которая 
и фигурирует в названии. 


При работе протокола ЗРВМ каждый пограничный коммутатор ВЕВ строит дерево оп- 
тимальных маршрутов к остальным пограничным коммутаторам отдельно для каждой 
магистральной сети УГАМ, то есть отдельно для каждого значения В-УТО. Например, на 
рис. 12.6 пограничный коммутатор ВЕВ1 строит для сервиса 1033 дерево маршрутов к по- 
граничным коммутаторам ВЕВ2 и ВЕВЗ, а для сервиса 1007 — дерево маршрутов только 


к ВЕВ2, так как только этот коммутатор входит в магистральную виртуальную локальную 
сеть 1007 кроме ВЕВ1. 


Нахождение оптимальных маршрутов выполняется стандартным для протоколов марш- 
рутизации, учитывающих состояние связей, способом: каждый коммутатор (как типа 
ВЕВ, так и типа ВСВ) рассылает объявления о состоянии связей {В-МАС1, В-МАС2), 
где В-МАС-адреса относятся к коммутаторам, являющимся конечными точками данной 
связи. Пограничные коммутаторы ВЕВ распространяют также информацию о номерах 
магистральных виртуальных сетей В-\У ТО, для которых эти коммутаторы являются конеч- 
ными. Например, коммутатор ВЕВ1 распространяет информацию о двух связях: {В-МАС1, 
В-МАС-ВСВ1]} и {В-МАС1, В-МАС-ВСВ?} (вторые адреса в парах принадлежат маги- 
стральным коммутаторам ВСВЇ и ВСВ2). Кроме того, он объявляет о том, что является 
пограничным коммутатором для В-УІР 1033 и В-УТО 1007. После получения информации 
о топологии сети каждый коммутатор сети строит дерево оптимальных маршрутов от себя 
до каждого конечного коммутатора ВЕВ в каждой магистральной виртуальной сети В-УТО. 
В нашем примере ВЕВЇ строит два дерева: для В-УТО 1033 к коммутаторам ВЕВ2 и ВЕВЗ, 
а также для В-УІР 1007 к коммутатору ВЕВ2 (вырожденное дерево с одной ветвью). Далее 
эти деревья служат для построения таблицы продвижения, то есть нахождения следую- 
щего хопа передачи кадра. Таблица строится точно так же, как и таблица маршрутизации 
в протоколах ОЅРЕ и 18-15, то есть выбирается следующий коммутатор вдоль пути к ком- 
мутатору назначения. 


Применение известного протокола маршрутизации 15-15 как основы протокола ЅРВМ наде- 
ляет сети РВВ положительными свойствами, характерными для сетей ІР, в которых работают 
протоколы маршрутизации, учитывающие состояние связей, — рациональными маршрутами 
с отсутствием петель и быстрой перестройкой активной топологии при отказах элементов сети. 
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Магистральные мосты провайдера 
с поддержкой инжиниринга трафика 


Технология РВВ ТЕ (Ргоу!4ег ВаскБопе Вгійрве Тга с Епріпеегіпе — магистральные мосты 
провайдера с поддержкой инжиниринга трафика) базируется на технологии РВВ, добав- 
ляя к ней возможность инжиниринга трафика. В РВВ-ТЕ применяется та же самая схема 
инкапсуляции кадров, создания магистральных сетей УГАМ (В-УІР) и пользовательских 
соединений 1-10. В отличие от РВВ, технология РВВ-ТЕ работает только с двухточечной 
топологией соединений. 


Главными целями разработчиков технологии РВВ ТЕ были: 


О поддержка функций инжиниринга трафика; 


О обеспечение «быстрой» отказоустойчивости со скоростью, сравнимой со скоростью защиты 
соединений в технологии ЗОН. 


Поставленные цели достигаются в технологии РВВ ТЕ за счет перечисленных далее из- 
менений технологии РВВ и классической технологии локального моста: 


О Запрет на работу протокола ЅТР. 
О Отключение механизма автоматического изучения магистральных МАС-адресов. 


О Использование пары «В-УІр/В-МАС-рА» в качестве метки туннеля между двумя по- 
граничными коммутаторами. В принципе, любой коммутатор, который поддерживает 
технику УГАМ (стандарт ІЕЕЕ 802.10), продвигает кадры на выходной порт, анализи- 
руя два указанных в кадре значения: МАС-адрес назначения и идентификатор УГАМ. 
Данное свойство просто предполагает, что коммутатор ведет себя в соответствии с ал- 
горитмом продвижения, описанным в стандарте 802.10, но только для магистральных 
адресов и магистральных виртуальных локальных сетей. 


Ц Предварительная прокладка первичного (основного) и резервного туннелей для тех 
случаев, когда нужно обеспечить отказоустойчивость туннеля. 


Первые три перечисленные свойства технологии РВВ ТЕ позволяют администратору или 
системе управления сетью формировать пути прохождения через сеть произвольным об- 
разом, независимо от того, обеспечивают ли кратчайшее расстояние (в некоторой метрике) 
до некоторого коммутатора, названного корневым, или нет — то есть обеспечивают под- 
держку функций инжиниринга трафика. 


Посмотрим, как работает технология РВВ ТЕ, на примере одной сети (рис. 12.7). 
В этой сети сконфигурировано два туннеля: 


О Основной туннель с В-УТО 1007 между ВЕВ1 и ВЕВ2, проходящий через ВСВ2 
и ВСВ5. Нужно отметить, что туннели РВВ ТЕ являются двунаправленными. 


Ч Резервный туннель с В-УТО 1033, соединяющий те же конечные точки ВЕВЇ и ВЕВ2, но 
проходящий через другие промежуточные коммутаторы ВСВЇ1 и ВСВА, что позволяет 
обеспечить работоспособность резервного туннеля при отказе какого-либо элемента 
(коммутатора или линии связи) основного туннеля. 
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В-МАС-2 (оз) 
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(ст) Первичный туннель: \\ : (о) 
|-510 = 56 Я ТЕ 2 


з. 
и м —_—_— > 33 ВОВА "Е 
ОШ аб  33—-= о > р о 
оа Г ПП нм ——“ “А ЦЕ, 
- 9 . 
—— — > — с 


|-$10 = 144 


Резервный туннель: 
В-МІР = 1033 


ВСВ1 


ВЕВЗ Сеть РВВ-ТЕ провайдера 


В-МАС-3 
Рис. 12.7. Организация услуг в сети РВВ ТЕ 


Организация туннелей достигается путем ручного конфигурирования таблиц продвижения 
на всех коммутаторах сети, через которые проходят туннели (см. табл. 12.2, отражающую 
продвижение коммутатора ВЕВ1 после конфигурирования). 


Таблица 12.2. Таблица продвижения коммутатора ВЕВ1 


МАС-адрес назначения (В-МАС-ОА) | УГАМ Ш Выходной порт 
тина УІр) 


Для устойчивой работы сети РВВ ТЕ необходимо, чтобы комбинация В-УІр/В-МАС-РА 
была уникальной в пределах этой сети. Как и в технологии РВВ, для идентификации ма- 
гистральных коммутаторов ВЕВ и ВСВ в технологии РВВ-ТЕ используются МАС-адреса 
обратной связи, которые относятся не к отдельному физическому интерфейсу, а к комму- 
татору в целом. При ручном задании МАС -адресов ответственность за их уникальность 
лежит на администраторе; понятно, что такое решение может работать только в пределах 
одного административного домена. 
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Добавление значения В-УІР”Р к адресу В-МАС-РА позволяет организовать к одному и тому 
же пограничному коммутатору до 1024 туннелей с различными в общем случае путями 
прохождения через сеть. Это дает администратору или системе управления широкие воз- 
можности в отношении инжиниринга трафика в сетях РВВ ТЕ. 


Таблицы продвижения в сети РВВ ТЕ имеют стандартный вид для коммутаторов, поддер- 
живающих технику УГ.АМ. Изменяется только способ построения этих таблиц — вместо 
автоматического построения на основе изучения адресов передаваемых кадров имеет место 
их внешнее формирование. Отображение пользовательского трафика на соединения 1-510 
и связывание этих соединений с туннелями В-У Г происходит в технологии РВВ ТЕ точно 
так же, как в технологии РВВ. Так как сети РВВ ТЕ поддерживают только двухточечные 
соединения, пограничным коммутаторам не нужно изучать пользовательские МАС-адреса. 


Отказоустойчивость туннелей РВВ ТЕ обеспечивается следующим механизмом. Если 
администратор сети хочет защитить некоторый туннель, то он должен сконфигурировать 
для него резервный туннель и постараться проложить его через элементы сети, лежащие 
вне основного туннеля. В случае отказа первичного туннеля его трафик автоматически 
направляется пограничным коммутатором в резервный туннель. В примере, приведенном 
на рис. 12.7, для первичного туннеля с идентификатором В-УІР, равным 1007, сконфигу- 
рирован резервный туннель с идентификатором В-УТЮ, равным 1033. При отказе туннеля 
1007 трафик соединений с идентификаторами 1-510, равными 56 и 144, будет направлен 
коммутатором ВЕВ1 в туннель 1033. 


Для мониторинга состояний первичного и резервного туннелей в технологии РВВ ТЕ 
применяется протокол СЕМ, являющийся обязательным элементом технологии РВВ 
ТЕ. Мониторинг выполняется путем периодической отправки сообщений ССМ каждым 
пограничным коммутатором туннеля. Время реакции механизма защиты туннелей РВВ 
ТЕ определяется периодом следования сообщений ССМ; при аппаратной реализации 
протокола портами коммутатора время реакции может находиться в пределах десятка 
миллисекунд, что соизмеримо с реакцией сетей 50Н/ОТМ. 


Вопросы к части 111 


Назовите преимущества и недостатки разделяемой среды. 


2. Верно ли утверждение: «Маркерный доступ обеспечивает более эффективное исполь- 
зование пропускной способности разделяемой среды»? 


3. К какому типу относится МАС-адрес 02:25:86: 64:са:е4? 


4. Преамбула в кадре Еегпе нужна для (выберите вариант ответа): 
а) вхождения приемника в синхронизм; 
б) вхождения передатчика в синхронизм; 
в) расширения кадра для более устойчивого распознавания коллизий. 


5. При повышении скорости передачи данных максимальный диаметр сети Ефегпе на 
разделяемой среде (выберите вариант ответа): 


а) увеличивается; 
6) уменьшается; 
в) остается неизменным. 
6. Для повышения производительности сети Ефегпе количество ее сегментов (при со- 
хранении числа станций в сети) нужно (выберите вариант ответа): 
а) увеличить; 
6) уменьшить. 


7. Таблица продвижения моста имеет следующий вид: 


На порт 2 коммутатора поступает кадр с адресом назначения ас:1+:66:64:с7 : 96 и адре- 
сом источника +8: #2:1е:Өс:За:08. Укажите, какое действие выполнит мост: 


а) отбросит кадр; 

б) передаст его на все порты и заменит первую запись таблицы продвижения на МАС- 
адрес #8:+#2:1е:Өс:За:08, Порт 2; 

в) передаст его на все порты и не станет корректировать записи. 


8. В сети на коммутаторах образовалась петля. Укажите, с помощью каких мер можно 
предотвратить негативные последствия такой конфигурации: 


а) установить более скоростные порты Еегпеї; 

б) активировать протокол ТР; 

в) разорвать петлю физическим отсоединением порта; 

г) разорвать петлю логическим переводом порта в неактивное состояние. 
9. Чем отличаются коммутаторы Ваге Меќа] от \/Б Ще Вох? 


10. 


11. 
12. 


13. 


14. 
15. 


16. 


17. 


18. 


19. 


20. 


21; 
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Поясните, для чего в стандарте Сівађі Ефегпе введено поле расширения: 

а) для увеличения доли пользовательских данных в кадре; 

б) для обеспечения диаметра сети 200 м при работе на разделяемой среде. 
Существует ли вариант стандарта 10С ЕЩегпе на витой паре? 

Поясните, за счет чего повышена скорость в стандарте 100СВаѕе-5 КА по сравнению 
со стандартом 10СВаѕе-$К (выберите вариант ответа): 

а) применения метода кодирования 16-ОАМ; 

6) повышения тактовой частоты в 4 раза; 

в) повышения тактовой частоты в 2,5 раза; 

г) применения четырех параллельных потоков. 

Поясните, какие механизмы позволили достичь требуемой скорости в стандарте 400С 
Е‹ћегпеїѓ (выберите вариант ответа): 

а) кодирование РАМА; 

б) кодирование РАМ5; 

в) применение параллельных волн; 

г) применение кодов ЕЕС. 

Каким образом можно назначить некоторый коммутатор корневым? 


Верно ли утверждение: «порт, имеющий минимальное расстояние до корневого ком- 
мутатора среди всех портов данного коммутатора, является назначенным»? 


Протокол КЅТР находит покрывающее дерево быстрее протокола $ТР, так как он 
(выберите вариант ответа): 

а) исключает из рассмотрения тупиковые порты; 

б) принимает во внимание существующие УГ.АМ; 

в) назначает резервные порты для корневых и назначенных портов; 

г) сокращает период фиксации отказа в сети. 

Составьте список доступа, запрещающий узлу с МАС-адресом +8 :+2:1е:@с:3За:68 


обращаться к узлу с МАС-адресом ас:1+:66:64:с7:а6, при этом все остальные взаи- 
модействия в сети должны быть разрешены. 


Сервер и клиентский компьютер подключены к портам одного и того же коммутатора: 
сервер — к порту Есћегпес10С, а клиент — Ефегпее 1С. На клиенте работает только 
одно приложение, которое обращается к серверу. Повысится ли скорость обмена кли- 
ента с сервером, если клиенту добавить еще один порт Еѓћегпеѓ 1С, соединяющий его 
с коммутатором, и образовать группу ГАС из двух его портов Е(ћегпеѓ 1С? 


Каким образом можно предотвратить включение некоторого порта в группу ГАС 
протоколом Г.АСР? 


Поясните, каким образом можно объединить несколько УГАМ (выберите вариант 
ответа): 

а) с помощью маршрутизатора; 

б) приписать их к одному транку. 


Какое действие выполняет порт доступа, передавая помеченный кадр клиентскому 
узлу (кадр получен от порта-транка по внутренней шине коммутатора)? 


Вопросы к части И! 397 


22. Для превращения Е(ћегпеѓ в технологию операторского класса были произведены 


20: 


25. 


изменения в нескольких областях, среди них (выберите вариант ответа): 

а) отменена широковещательная рассылка; 

б) разделены адресные пространства пользователя и провайдера; 

в) добавлены функции ОАМ. 

Каждая точка МЕР выполняет следующие функции (выберите вариант ответа): 
а) генерирует сообщения ССМ; 

б) анализирует транзитные ІР-пакеты; 

в) принимает сообщения ССМ. 


Корректно ли при конфигурировании протокола СЕМ назначить домену оператора 
уровень 6, а домену пользователя — уровень 3? 


Пограничные коммутаторы провайдера, работающие по стандарту РВВ, должны изу- 
чать МАС-адреса узлов клиента (выберите вариант ответа): 

а) никогда; 

б) всегда; 

в) при оказании услуги Е-ГАМ. 


Часть ІМ 
Сети ТСРЛР 


О Глава 13. Адресация в стеке протоколов ТСРЛР 

О Глава 14. Протокол межсетевого взаимодействия ІР 

О Глава 15. Протоколы транспортного уровня ТСР и ЦОР 
О Глава 16. Протоколы маршрутизации и технология $50“ 


О Глава 17. 1Руб как развитие стека ТСРЛР 


Эта часть книги посвящена самой популярной сетевой технологии, появившейся более 40 лет назад 
в результате создания Интернета и использующейся сегодня практически во всех существующих 
и вновь создаваемых сетях. 


Следуя логике, диктуемой моделью ОЗ1, вслед за частями 11 и И! в которых рассматривались техно- 
логии физического и канального уровней, в этой части книги мы обратимся к средствам сетевого 
уровня, то есть средствам, обеспечивающим возможность объединения множества разных сетей 
в единую сеть. Учитывая, что бесспорным лидером среди протоколов сетевого уровня является про- 
токол ІР, мы будем рассматривать вопросы построения объединенных сетей на его примере. При 
этом мы дадим, по возможности, широкую картину взаимодействия всех протоколов стека ТСРЛР. 
Следуя важной современной тенденции все более широкого использования протокола |Руб, мы 
уделим внимание принятым в этой версии системе адресации и маршрутизации, а также тем воз- 
можностям, которые предлагаются для плавного перехода на эту новую версию. 


Забегая вперед, хотим предупредить читателя, что в следующих частях книги мы еще не раз обра- 
тимся к стеку ТСРЛР. Так, в части У «Технологии глобальных сетей» изучаются особенности работы 
протокола |Р «поверх» сетей, поддерживающих технику виртуальных каналов, а также тесно связанная 
с |Р технология МРЕ$. В части МІ «Беспроводные сети» вы познакомитесь с той ролью, которую играет 
протокол ІР в работе мобильных сетей. 


Часть МІ! «Сетевые информационные службы» в значительной мере посвящена прикладным протоко- 
лам стека ТСРЛР: НТТР (веб-служба), ЗМТР ІМАР и РОР (почтовая служба), ЗММР и їеіпеї (системы 
управления сетью). Материал последней части ІІ «Безопасность компьютерных сетей» также тесно 
связан с протоколами и технологиями ІР-сетей — в ней рассматриваются уязвимости и методы за- 
щиты транспортных протоколов и информационных служб ІР-сетей, фильтрация ІР-трафика, протокол 
трансляции ІР-адресов МАТ, защищенная версия протокола ІР — протокол ІРЅес. 


Адресация в стеке 
протоколов ТСРЛР 


Одним из достоинств технологии ТСР/[Р является гибкость и масштабируемость систе- 
мы адресации, что позволяет ей достаточно просто включать в составную сеть сети разных 
технологий и разного масштаба. Основными задачами адресации являются следующие: 


О Согласованное использование адресов различного типа. Эта задача включает отображе- 
ние адресов разных типов друг на друга, например сетевого [Р-адреса на локальный, 
доменного имени — на ІР-адрес. 


О Обеспечение уникальности адресов. В зависимости от типа адреса требуется обеспечи- 
вать однозначность адресации в пределах компьютера, подсети, корпоративной сети 
или Интернета. 


О Конфигурирование сетевых интерфейсов и сетевых приложений. 


Каждая из перечисленных задач имеет достаточно простое решение для сети, число узлов 
которой не превосходит нескольких десятков. Например, для отображения символьного 
доменного имени на ІР-адрес достаточно поддерживать на каждом хосте таблицу всех сим- 
вольных имен, используемых в сети, и соответствующих им [Р-адресов. Столь же просто 
«вручную» присвоить всем интерфейсам в небольшой сети уникальные адреса. Однако 
в крупных сетях эти же задачи усложняются настолько, что требуют принципиально иных 
решений. 


Ключевым словом, которое характеризует принятый в ТСР/ІР подход к решению этих 
проблем, является масштабируемость. Процедуры, предлагаемые ТСР/ІР для назначения, 
отображения и конфигурирования адресов, одинаково хорошо работают в сетях разного 
масштаба. В этой главе, наряду с собственно схемой образования ІР-адресов, мы позна- 
комимся с наиболее популярными масштабируемыми средствами поддержки адресации 
в сетях ТСР/И[Р: технологией бесклассовой междоменной маршрутизации, системой до- 
менных имен, протоколом динамического конфигурирования хостов. 


В этой главе речь идет о системе адресации, используемой в четвертой версии протокола іРу4, 
которая существенно отличается от системы адресации в версии Руб. Особенности 1Руб рас- 
сматриваются в главе 17. 


Структура стека протоколов ТСРЛР 


Сегодня стек ТСРЛР широко используется как в глобальных, так и в локальных сетях. 
Стек имеет иерархическую, четырехуровневую структуру (рис. 13.1). 


Прикладной уровень стека ТСР/Р соответствует трем верхним уровням модели ОЗ: при- 
кладному, представления и сеансовому. Он объединяет сервисы, предоставляемые стеком 
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ҒТР, Тепе, НТТР, ЭМТР, 


Прикладной уровень ЅММР. ТЕТР 


Транспортный уровень ТСР, ЧОР 


Сетевой уровень ІР, ІСМР, КІР, ОЗРЕ 


Уровень сетевых 


Не регламентируется 
интерфейсов р ру 


Рис. 13.1. Иерархическая структура стека ТСРЛР 


ТСР/ІР пользовательским приложениям. К ним относятся протокол передачи файлов 
(ЕЦе Тгапѕѓег Ргоѓосо], ЕТР), протокол эмуляции терминала (е[пеѓ, простой протокол 
передачи почты (Зипр/е Май Тгапѕѓег Ргоќосо], ЗМТР), протокол передачи гипертекста 
(Нурегехе Тгапѕѓег Ргобосо|, НТТР) и многие другие. Протоколы прикладного уровня 
развертываются на хостах". 


Транспортный уровень стека ТСР/ІР может предоставлять вышележащему уровню два 
типа сервиса: 


О гарантированную доставку обеспечивает протокол управления передачей (Тгапѕтіѕѕіоп 
Сопёго| Рготосо|, ТСР); 


О доставку по возможности, или с максимальными усилиями, обеспечивает протокол 
пользовательских дейтаграмм (Оѕег Оасќаргат Ргоѓосо!, ОРЮР). 


Чтобы обеспечить надежную доставку данных, протокол ТСР предусматривает установ- 
ление логического соединения. Это позволяет нумеровать пакеты, подтверждать их прием 
квитанциями, организовывать в случае потери повторные передачи, распознавать и унич- 
тожать дубликаты, доставлять прикладному уровню пакеты в том порядке, в котором они 
были отправлены. Благодаря этому протоколу объекты на хосте-отправителе и хосте-полу- 
чателе могут поддерживать обмен данными в дуплексном режиме. ТСР дает возможность 
без ошибок доставить сформированный на одном из компьютеров поток байтов на любой 
другой компьютер, входящий в составную сеть. 


Второй протокол этого уровня, (ОР, является простейшим дейтаграммным протоколом, 
используемым, если задача надежного обмена данными либо вообще не ставится, либо 
решается средствами более высокого уровня — прикладным уровнем или пользователь- 
скими приложениями. 


В функции протоколов ТСР и ОПР входит также исполнение роли связующего звена между 
прилегающими к транспортному уровню прикладным и сетевым уровнями. От приклад- 
ного протокола транспортный уровень принимает задание на передачу данных с тем или 


і В Интернете (а значит, и в стеке протоколов ТСР/Р) конечный узел традиционно называют хостом, 
а маршрутизатор — шлюзом. Далее мы будем использовать пары терминов «конечный узел» — «хост» 
и «маршрутизатор» — «шлюз» как синонимы, чтобы отдать дань уважения традиционной термино- 
логии Интернета и в то же время не отказываться от современных терминов. 
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иным качеством прикладному уровню-получателю. Нижележащий сетевой уровень прото- 
колы ТСР и ОБР рассматривают как своего рода инструмент, пусть и не очень надежный, 
но способный перемещать пакет в свободном и рискованном путешествии по составной 
сети. Программные модули, реализующие протоколы ТСР и ОРЮР подобно модулям про- 
токолов прикладного уровня, устанавливаются на хостах. 


Сетевой уровень, называемый также уровнем Интернета, является стержнем всей архи- 
тектуры ТСР/ІР Протоколы сетевого уровня поддерживают интерфейс с вышележащим 
транспортным уровнем, получая от него запросы на передачу данных по составной сети, 
а также с нижележащим уровнем сетевых интерфейсов, о функциях которого мы расска- 
жем далее. 


Основным протоколом сетевого уровня является межсетевой протокол (Іпѓегпес Рготосо|, 
ІР). В его задачу входит продвижение пакета между сетями — от одного маршрутизатора 
к другому до тех пор, пока пакет не попадет в сеть назначения. В отличие от протоколов 
прикладного и транспортного уровней, протокол ІР развертывается не только на хостах, 
но и на всех маршрутизаторах. Протокол ІР — это дейтаграммный протокол, работающий 
без установления соединений по принципу доставки с максимальными усилиями. Такой 
тип сетевого сервиса называют также «ненадежным». 


К сетевому уровню ТСРЛІР часто относят протоколы, выполняющие вспомогательные 
функции по отношению к ІР. Это прежде всего протоколы маршрутизации КІР и ОЗРЕ 
предназначенные для изучения топологии сети, определения маршрутов и составления 
таблиц маршрутизации, на основании которых протокол [Р перемещает пакеты в нужном 
направлении. По этой же причине к сетевому уровню могут быть отнесены протокол 
межсетевых управляющих сообщений (Іпѓќегпеѓ Сошго| Меззаде РгоѓосоЇ, 1СМР), пред- 
назначенный для передачи маршрутизатором источнику сведений об ошибках, возникших 
при передаче пакета, и некоторые другие протоколы. 


Идеологическим отличием архитектуры стека ТСРЛР от многоуровневой архитектуры других сте- 
ков является интерпретация функций самого нижнего уровня — уровня сетевых интерфейсов. 


Напомним, нижние уровни модели ОЗ] (канальный и физический) реализуют разно- 
образный набор функций: доступ к среде передачи, формирование кадров, согласование 
величин электрических сигналов, кодирование, синхронизация, усиление. Конкретные 
реализации этих функций составляют суть протоколов физического и канального уровней, 
таких, например, как Ећегпеѓ и РРР У нижнего уровня стека ТСР/ІР задача существенно 
проше — он отвечает только за организацию взаимодействия с подсетями нижележащих 
технологий, входящими в составную сеть. 


Любая коммуникационная среда, которая позволяет двум или более ІР-узлам непосредственно 
взаимодействовать друг с другом без промежуточных маршрутизаторов, рассматривается про- 
токолом ІР как одна линия связи (МпкК), как если бы эти узлы были связаны отрезком кабеля. 
В простейшем случае такая коммуникационная среда может действительно представлять со- 
бой отдельную физическую линию связи с работающим на ней протоколом канального уровня, 
например Ећегпеї или РРР Более сложным случаем является локальная сеть, построенная на 
коммутаторах. Но поскольку она также является доменом широковещания, то для протокола ІР 
эта коммутируемая среда неотличима от физической линии связи. 
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Подчеркнем, что если локальная сеть разбита на виртуальные локальные сети УГАМ“ для 
протокола ІР то она представляет собой уже несколько линий связи, по числу УГАМ, так 
как широковещание ограничивается пределами отдельной УГАМ. В том случае, когда 
коммуникационная среда, работающая под ІР, не поддерживает широковещание, она 
рассматривается не как одна линия связи, а как набор отдельных линий связи, например, 
МРГ$ является такой средой и отдельные логические каналы МРГ.$ рассматриваются 
протоколом [Р как отдельные связи!. Задачу организации интерфейса между технологи- 
ей ТСР/ТР и любой другой технологией промежуточной сети упрощенно можно свести 
к двум задачам: 


Ч упаковка (инкапсуляция) 1Р-пакета в единицу передаваемых данных промежуточной 
сети; 


О преобразование сетевых [Р-адресов в адреса технологии данной промежуточной сети. 


Такой гибкий подход упрощает решение проблемы расширения набора поддерживаемых 
технологий. При появлении новой популярной технологии она быстро включается в стек 
ТСР/ТР путем разработки соответствующего стандарта, определяющего метод инкапсу- 
ляции [Р-пакетов в ее кадры (например, спецификация КЕС 1577, определяющая работу 
протокола ІР через сети АТМ, появилась в 1994 году, вскоре после принятия основных 
стандартов АТМ). Так как для каждой вновь появляющейся технологии разрабатываются 
собственные интерфейсные средства, функции этого уровня нельзя определить раз и на- 
всегда, и именно поэтому нижний уровень стека ТСР/ІР не регламентируется. 


Каждый коммуникационный протокол оперирует некоторой единицей передаваемых дан- 
ных. Названия этих единиц иногда закрепляются стандартом, а чаще просто определяются 
традицией. В стеке ТСР/Р за многие годы его существования образовалась устоявшаяся 
терминология в этой области (рис. 13.2). 


Прикладные протоколы 


Дейтаграмма Сегмент 


Пакет (дейтаграмма) 


Сетевые интерфейсы 


Кадр (фрейм) 


Рис. 13.2. Названия протокольных единиц данных в ТСРЛР 


Потоком данных, информационным потоком или просто потоком называют данные, 
поступающие от приложений на вход протоколов транспортного уровня — ТСР и ПОШОР 
Протокол ТСР «нарезает» из потока данных сегменты. Единицу данных протокола (ОР 


1 Об использовании термина пк на физическом уровне см. главу 6. 
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часто называют дейтаграммой. Дейтаграмма — это общее название для единиц данных, 
которыми оперируют протоколы без установления соединений. К таким протоколам от- 
носится и протокол ІР, поэтому его единицу данных иногда тоже называют дейтаграммой, 
хотя чаще используется другой термин — пакет. 


В стеке ТСРЛІР единицы данных любых технологий, в которые упаковываются ІР-пакеты 
для последующей передачи через сети составной сети, принято называть кадрами или 
фреймами. При этом не имеет значения, какое название используется для этой единицы 
данных в технологии составляющей сети. Для ТСР/[Р фреймом является и кадр Е(ћегпеї, 
и ячейка АТМ, и пакет Х.25 в тех случаях, когда они выступают в качестве контейнера, 
в котором ІР-пакет переносится через составную сеть. 


Типы адресов стека ТСРЛР 


Для идентификации сетевых интерфейсов используются три типа адресов: 
О локальные (аппаратные) адреса; 

0 сетевые адреса (ІР-адреса); 

О символьные (доменные) имена. 


В разных сетевых технологиях в общем случае используются собственные системы адре- 
сации, предназначенные исключительно для обеспечения связи собственных узлов. Но 
как только некоторая сеть объединяется с другими сетями в составную, функциональ- 
ность этих адресов расширяется, они становятся необходимым элементом вышележащей 
объединяющей технологии — в данном случае технологии ТСР/[Р. Роль, которую играют 
эти адреса в ТСР/ІР не зависит от того, какая именно технология применяется в подсети, 
поэтому они имеют общее название — локальные (аппаратные) адреса. Чапример, если 
в составную сеть включена подсеть Ећегпеѓ, то локальными адресами сетевых интерфей- 
сов этой сети для технологии ТСРЛІР будут соответственно МАС-адреса, а если подсеть 
АТМ — то номера виртуальных каналов. 


ПРИМЕЧАНИЕ 


Слово «локальный» в контексте ТСР/ІР означает «действующий не во всей составной сети, а лишь 
в пределах подсети». Именно в таком смысле понимаются здесь термины: «локальная технология» 
(технология, на основе которой построена подсеть), «локальный адрес» (адрес, применяемый неко- 
торой локальной технологией для адресации узлов в пределах подсети). Напомним, что в качестве 
подсети («локальной сети») может выступать и ГАМ, и МАМ. Следовательно, говоря о подсети, мы 
задействуем слово «локальная» не как характеристику технологии, лежащей в основе этой подсети, 
а как указание на роль, которую играет эта подсеть в архитектуре составной сети. Сложности могут 
возникнуть и при интерпретации определения «аппаратный». В данном случае термин «аппаратный» 
подчеркивает концептуальное представление разработчиков стека ТСР/ТР о подсети как о некотором 
эспомогательном аппаратном средстве, единственной функцией которого является перемещение 1Р- 
пакета через подсеть до ближайшего шлюза. 


Чтобы технология ТСР/ТР могла решать свою задачу объединения сетей, ей необходима 
собственная глобальная система адресации, позволяющая универсальным и однозначным 
способом идентифицировать любой интерфейс составной сети. Очевидным решением яв- 
ляется нумерация всех подсетей составной сети, а затем нумерация сетевых интерфейсов 
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в пределах каждой из этих подсетей. Пара, состоящая из номера сети и номера узла!, отве- 
чает поставленным условиям и может служить в качестве сетевого адреса, или ІР-адреса. 
Сетевой адрес представляет собой набор чисел, например 192.45.66.17. 


Числовое представление сетевого адреса достаточно эффективно для программных и ап- 
паратных средств. Однако пользователи обычно предпочитают работать с более удобными 
символьными именами компьютеров. Именно с символьными именами вы имеете дело, 
когда задаете веб-браузеру адрес доступа к тому или иному сайту Интернета. Символьные 
имена в пределах составной сети строятся по иерархическому признаку. Примером до- 
менного имени может служить имя Базе2.за!ез.2И.ги. Символьные имена называют также 
доменными именами или О№$-именами. 


Между локальным адресом, доменным именем и ІР-адресом, относящимся к одному и тому же 
сетевому интерфейсу, нет функциональной зависимости, поэтому единственный путь получить 
отображение адреса одного типа в адрес другого типа — это построить таблицу соответствия. 


В общем случае сетевой интерфейс может иметь несколько локальных адресов, сетевых 
адресов, доменных имен. 


Формат ІР-адреса 


В заголовке ІР-пакета предусмотрены поля для хранения /Р-адреса отправителя и ІР- 
адреса получателя. Каждое из этих полей имеет фиксированную длину 4 байта (32 бита). 
Как уже было сказано, ІР-адрес состоит из двух логических частей — номера сети и номера 
узла в сети. Наиболее распространенная форма представления [Р-адреса — запись в виде 
четырех чисел, представляющих значения каждого байта в десятичной форме и разделен- 
ных точками, например: 


128.10.2.30 

Этот же адрес может быть представлен в двоичном формате: 
10000000 00001010 00000010 00011110 

В шестнадцатеричном формате тот же адрес имеет следующий вид: 


80.0А.02.1р 


Запись адреса не предусматривает специального разграничительного знака между номером 
сети и номером узла. Вместе с тем при передаче пакета по сети часто возникает необходи- 
мость разделить адрес на эти две части. Например, маршрутизация, как правило, осущест- 
вляется на основании номера сети, поэтому каждый маршрутизатор, получая пакет, должен 
прочитать из соответствующего поля заголовка адрес назначения и выделить из него номер 
сети. Каким образом маршрутизаторы определяют, какая часть из 32 бит, отведенных под 
[Р-адрес, относится к номеру сети, а какая — к номеру узла? 


Можно предложить несколько вариантов решения этой проблемы. 


Простейший из них состоит в использовании фиксированной границы. При этом все 
32-битное поле адреса заранее делится на две части не обязательно равной, но фиксиро- 
ванной длины, в одной из которых всегда будет размещаться номер сети, в другой — номер 


і Напомним, для сокращения часто говорят «узел», а не «сетевой интерфейс узла». 
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узла. Решение очень простое, но хорошее ли? Поскольку поле, которое отводится для 
хранения номера узла, имеет фиксированную длину, все сети будут иметь одинаковое 
максимальное число узлов. Если, например, под номер сети отвести один первый байт, 
то все адресное пространство распадется на сравнительно небольшое (28) число сетей 
огромного размера (224 узлов). Если границу передвинуть дальше вправо, то сетей станет 
больше, но все равно все они будут одинакового размера. Очевидно, что такой жесткий 
подход не позволяет дифференцированно удовлетворять потребности отдельных пред- 
приятий и организаций. Именно поэтому он не нашел применения, хотя и использовался 
на начальном этапе существования технологии ТСР/ІР. 


Второй подход (КЕС 950, КЕС 1518) основан на применении маски, которая позволяет 
максимально гибко устанавливать границу между номером сети и номером узла. При 
таком подходе адресное пространство можно использовать для создания множества сетей 
разного размера. 


Маска — это число, применяемое в паре с ІР-адресом, причем двоичная запись маски содержит 
непрерывную последовательность единиц в тех разрядах, которые должны в ІР-адресе интер- 
претироваться как номер сети. Граница между последовательностями единиц и нулей в маске 
соответствует границе между номером сети и номером узла в1Р-адресе. 


Например, если маска, связываемая с некоторым ІР-адресом, имеет вид 1111111111110 
0000000000000000000, то номеру сети соответствуют 10 старших разрядов в двоичном 
представлении данного [Р-адреса. И наконец, способ (КЕС 791), основанный на классах 
адресов, представляет собой компромисс по отношению к двум предыдущим: размеры 
сетей хотя и не могут быть произвольными, как при использовании масок, но и не должны 
быть одинаковыми, как при установлении фиксированных границ. Вводится пять классов 
адресов: А, В, С, О, Е. Три из них — А, Ви С — предназначены для адресации сетей, а два — 
Ри Е – имеют специальное назначение. Для каждого класса сетевых адресов определено 
собственное положение границы между номером сети и номером узла. 


Классы ІР-адресов 


Признаками, на основании которых [Р-адрес относят к тому или иному классу, являются 
значения нескольких первых битов адреса (рис. 13.3). 


В табл. 13.1 приведены диапазоны адресов и максимальное число сетей и узлов, соответ- 
ствующих каждому классу. 


Таблица 13.1. Классы |Р-адресов 


Класс | Первые | Наименьший номер сети | Наибольший номер сети | Максимальное число 
биты узлов в сети 


1.0.0.0 126.0.0.0 224, поле 3 байта 
(0 — не используется) (127 — зарезервирован) 


в | | 128000 = [ 1912500 216 поле 2 байта 
р |ию [224000 [|239.255.255.255 [Групповые адреа 
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1 байт 2 байта 3 байта 4 байта 


Номер сети Номер узла 
(7 бит) 5 бит) 


Адреса класса А 


З БЕ сети нана узла 
гараве бит) ем: бит) 


Адреса класса В 


аны сети Номер узла 
аын и лак (8 бит) 


Адреса класса С 


Беген БАНЕ адрес 
МЕ: бит) 


Адреса класса 0 


11411 А БЕРБ сами адреса 
(27 бит) 


Адреса класса Е 


Рис. 13.3. Классы ІР-адресов 


Исходя из приведенной структуры адресов и информации из таблицы можно сделать не- 
сколько очевидных выводов. Сетей класса А сравнительно немного, зато количество узлов 
в них очень большое и может достигать 224, что равно 16 777 216 узлов. Сетей класса В 
больше, чем сетей класса А, но их размеры меньше, а максимальное количество узлов в се- 
тях класса В составляет 216 (65 536). Сетей класса С больше всего, но они характеризуются 
самым маленьким максимально возможным количеством узлов, всего 28 (256). 


Адреса классов А, В и С используются для идентификации отдельных сетевых интерфей- 
сов, то есть являются индивидуальными адресами (ип!саз{ а44гез$). Групповые адреса 
(тисісаѕі айЯгеѕѕ), принадлежащие классу О, не делятся на номер сети и номер узла 
и обрабатываются маршрутизатором особым образом. Один групповой адрес идентифи- 
цирует гриппу сетевых интерфейсов, в общем случае принадлежащих разным сетям. Адрес 
класса О начинается с последовательности 1110, а в младших адресах содержит номер 
(идентификатор) группы. 


Основное назначение групповых адресов — распространение информации по схеме «один- 
ко-многим». Интерфейс, входящий в группу, получает наряду с обычным индивидуальным 
[Р-адресом также групповой адрес. Групповые адреса предназначены для экономичного 
распространения в Интернете или большой корпоративной сети аудио- или видеопро- 
грамм, адресованных сразу большой аудитории слушателей или зрителей. Если групповой 
адрес помещен в поле адреса назначения [Р-пакета, то данный пакет должен быть доставлен 
сразу нескольким узлам, которые образуют группу с номером, указанным в поле адреса. 
Один и тот же узел может входить в несколько групп, узел может в любое время присоеди- 
ниться либо выйти из группы. Члены группы могут распределяться по различным сетям, 
находящимся друг от друга на произвольно большом расстоянии. 
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Номера групп могут быть временными, назначаемыми только на время некоторого события 
(конференции), или постоянными («еі поит), централизованно закрепленными за типич- 
ными группами устройств. Например, адреса 224.0.0.1 и 224.0.0.2 приписаны всем хостам 
и маршрутизаторам локальной сети соответственно. Так, если хост посылает пакет с адре- 
сом назначения 224.0.0.1, то он должен быть доставлен всем хостам в его локальной сети!. 
Если же адрес начинается с последовательности 11110, то это значит, что данный адрес 
относится к классу Е. Адреса этого класса зарезервированы для будущих применений. 


Чтобы получить из [Р-адреса номер сети и нөмер узла, требуется не только разделить адрес 
на две соответствующие части, но и дополнить каждую из них нулями до полных четырех 
байтов. Возьмем, например, адрес класса В 129.64.134.5. Первые два байта идентифицируют 
сеть, а последующие два — узел. Таким образом, номером сети является адрес 129.64.0.0, 
а номером узла — адрес 0.0.134.5. 


Особые ІР-адреса 


В ТСР/ІР существуют ограничения при назначении ІР-адресов, а именно: номера сетей 
и номера узлов не могут состоять из одних двоичных нулей или единиц. Отсюда следует, что 
максимальное количество узлов, приведенное в табл. 13.1 для сетей каждого класса, должно 
быть уменьшено на 2. Например, в адресах класса С под номер узла отводится 8 бит, кото- 
рые позволяют задать 256 номеров: от 0 до 255. Однако в действительности максимальное 
число узлов в сети класса С не может превышать 254, так как адреса 0 и 255 запрещены 
для адресации сетевых интерфейсов. Из этих же соображений следует, что конечный узел 
не может иметь адрес типа 98.255.255.255, поскольку номер узла в этом адресе класса А 
состоит из одних двоичных единиц. 


Введя эти ограничения, разработчики технологии ТСР/Р получили возможность рас- 
ширить функциональность системы адресации следующим образом: 


О Если ІР-адрес состоит только из двоичных нулей, то он называется неопределенным 
адресом и обозначает адрес того узла, который сгенерировал этот пакет. Адрес такого 
вида в особых случаях помещается в заголовок ІР-пакета, в поле адреса отправителя. 


Ы Если в поле номера сети стоят только нули, то по умолчанию считается, что узел на- 
значения принадлежит той же самой сети, что и узел, который отправил пакет. Такой 
адрес также может быть использован только в качестве адреса отправителя. 


О Если все двоичные разряды ІР-адреса равны 1, то пакет с таким адресом назначения 
должен рассылаться всем узлам, находящимся в той же сети, что и источник этого па- 
кета. Такой адрес называется ограниченным широковещательным (Ппкеа Бгоайсаѕё). 
Ограниченность в данном случае означает, что пакет не выйдет за границы данной 
подсети ни при каких условиях. 


О Если в поле адреса назначения в разрядах, соответствующих номеру узла, стоят только 
единицы, то пакет, имеющий такой адрес, рассылается всем узлам сети, номер которой 
указан в адресе назначения. Например, пакет с адресом 192.190.21.255 будет направ- 
лен всем узлам сети 192.190.21.0. Такой тип адреса называется широковещательным 
(Бгоасазе). 


1 О групповых адресах читайте также в разделе «Типы адресов [Руб» главы 17 и в разделе < Группо- 
вое вещание» главы 16. 
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ВНИМАНИЕ 


В протоколе [Р нет понятия «широковещание» в том смысле, в котором оно используется в прото- 
колах канального уровня локальных сетей, когда данные должны быть доставлены абсолютно всем 
узлам сети. Как ограниченный, так и обычный варианты широковещательной рассылки имеют преде- 
лы распространения в составной сети: они ограничены либо сетью, которой принадлежит источник 
пакета, либо сетью, номер которой указан в адресе назначения. Поэтому деление сети с помощью 
маршрутизаторов на части локализует широковещательный шторм пределами одной из подсетей 
просто потому, что нет способа адресовать пакет одновременно всем узлам всех сетей составной сети. 


Особый смысл имеет ІР-адрес, первый октет которого равен 127. Этот адрес является внут- 
ренним адресом стека протоколов компьютера (или маршрутизатора). Он используется для 
тестирования программ, а также для организации работы клиентской и серверной частей 
приложения, установленных на одном компьютере. Обе программные части данного при- 
ложения спроектированы в расчете на то, что они будут обмениваться сообщениями по 
сети. Но какой же ІР-адрес они должны использовать для этого? Адрес сетевого интерфей- 
са компьютера, на котором они установлены? Но это приводит к избыточным передачам 
пакетов в сеть. Экономичным решением является применение внутреннего адреса 127.0.0.0. 
В ІР-сети запрещается присваивать сетевым интерфейсам ІР-адреса, начинающиеся со 
значения 127. Когда программа посылает данные по ІР-адресу 127.х.х.х, то данные не пере- 
даются в сеть, а возвращаются модулям верхнего уровня этого же компьютера как только 
что принятые. Маршрут перемещения данных образует «петлю», поэтому этот адрес на- 
зывается адресом обратной петли (|оорБаск). 


Использование масок при ІР-адресации 


Снабжая каждый ІР-адрес маской, можно отказаться от понятий классов адресов и сделать 
систему адресации более гибкой. 


Пусть, например, для ІР-адреса 129.64.134.5 (0000001.01000000.10000110.00000101) ука- 
зана маска 255.255.128.0 (11111111.11111111.10000000.00000000). 


Если игнорировать маску и интерпретировать адрес 129.64.134.5 на основе классов, то 
номером сети является 129.64.0.0, а номером узла — 0.0.134.5 (поскольку адрес относится 
к классу В). Если же использовать маску, то 17 последовательных двоичных единиц в маске 
255.255.128.0, «наложенные» на [Р-адрес 129.64.134.5, делят его на две части: 


Ш номер сети: 10000001.01000000.1; 
Ц номер узла: 0000110.00000101. 


В десятичной форме записи номера сети и узла, дополненные нулями до 32 бит, выглядят 
соответственно как 129.64.128.0 и 0.0.6.5. 


Наложение маски можно интерпретировать как выполнение операции логического умно- 
жения, называемой также операцией И (АМО). Так, в данном примере номер сети является 
результатом операции 


0000001.01000000.10000110.00000101 АМ”Ю 11111111.11111111.10000000.00000000. 


Помимо десятичной и двоичной формы представления маски используются и другие фор- 
маты. Например, удобно записывать маску в шестнадиатеричном коде: ЕЕЕЕ00.00 — маска 
для адресов класса В. Еще чаще встречается запись с префиксом 185.23.44.206/26 — данная 
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запись говорит о том, что маска для этого адреса содержит 26 единиц. В табл. 13.2 приве- 
дены маски для стандартных классов сетей, записанные в разных форматах. 


Таблица 13.2. Маски для стандартных классов сетей 


Класс Десятичная | Двоичная форма Шестнадцатеричная | Префикс 
адресов | форма форма 


255.0.0.0 11111111. 00000000. 00000000. 00000000 | ЕЕ 00.00.00 
| 255.255.0.0 | 11111111. 11111111. 00000000. 00000000 | ЕЕЕЕО0.00 
255.255.255.0 | 11111111. 11111111. 11111111. 00000000 | ЕЕЕЕЕЕО0 


Порядок назначения ІР-адресов 


По определению схема ІР-адресации должна обеспечивать уникальность нумерации сетей, 
а также уникальность нумерации узлов в пределах каждой из сетей. Следовательно, про- 
цедуры назначения номеров как сетям, так и узлам сетей должны быть централизованными. 
Рекомендуемый порядок назначения [Р-адресов дается в спецификации КЕС 2050. 


Централизованное распределение адресов 


Когда дело касается сети, являющейся частью Интернета, уникальность нумерации может 
быть обеспечена только усилиями специально созданных для этого центральных органов. 
Такие централизованно распределяемые адреса называются глобальными /публичными 
адресами. 


В небольшой же автономной [Р-сети условие уникальности номеров сетей и узлов может 
быть обеспечено «вручную» сетевым администратором. В этом случае в распоряжении 
администратора имеется все адресное пространство, ограниченное лишь разрядностью 
ІР-адресов, так как совпадение ІР-адресов в не связанных между собой сетях не вызовет 
никаких отрицательных последствий. Администратор может выбирать адреса произволь- 
ным образом, соблюдая лишь синтаксические правила и учитывая ограничения на особые 
адреса. 


Но при таком подходе исключена возможность в будущем подсоединить данную сеть 
к Интернету. Действительно, произвольно выбранные адреса данной сети могут совпасть 
с централизованно назначенными адресами других сетей, подключенных к Интернету. 
Чтобы избежать коллизий, связанных с такого рода совпадениями, в стандартах Интернета 
определено несколько диапазонов так называемых частных адресов, рекомендуемых для 
автономного использования: 


О вклассе А — сеть 10.0.0.0; 
О вклассе В — диапазон из 16 номеров сетей (172.16.0.0—172.31.0.0); 
О вклассе С — диапазон из 255 сетей (192.168.0.0-192.168.255.0). 


Эти адреса, исключенные из множества централизованно распределяемых, составляют 
огромное адресное пространство, достаточное для нумерации узлов автономных сетей 
практически любых размеров. Заметим также, что частные адреса, как и при произвольном 
выборе адресов, в разных автономных сетях могут совпадать. В то же время с помощью 
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специальных технологий можно избежать коллизий при подключении автономных сетей 
к Интернету. 


В больших сетях, подобных Интернету, уникальность сетевых адресов гарантируется централи- 
зованной иерархически организованной системой их распределения. Номер сети может быть 
назначен только по рекомендации специального подразделения Интернета. Главным органом 
регистрации глобальных адресов в Интернете с 1998 года является неправительственная не- 
коммерческая организация ІСАММ (Ілпїегпеї Согрогаїоп Гог Аѕѕідпеа Матеѕ апа Митбег$). 


Эта организация координирует работу региональных отделов, деятельность которых охва- 
тывает большие географические площади: АКІМ — Америка, КІРЕ (Европа), АРМІС (Азия 
и Тихоокеанский регион). Региональные отделы выделяют блоки адресов сетей крупным 
поставщикам услуг, а те, в свою очередь, распределяют их между своими клиентами, среди 
которых могут быть и более мелкие поставщики. 


Проблемой централизованного распределения адресов является их дефицит. Уже сравни- 
тельно давно очень трудно получить адрес класса В и невозможно — адрес класса А. Надо 
отметить, что дефицит обусловлен не только ростом количества узлов и сетей, но и тем, 
что имеющееся адресное пространство используется нерационально. 


Для смягчения проблемы дефицита адресов разработчики стека ТСР/1Р предлагают раз- 
ные подходы. Принципиальным решением является переход на новую версию протоко- 
ла ІР — протокол 1Роб, в котором проблемы дефицита адресов не существует. Но и текущая 
версия протокола ІР (ТРу4) поддерживает технологии, направленные на более экономное 
расходование [Р-адресов, такие, например, как МАТ и СТОК. 


Суть технологии трансляции сетевых адресов МАТ (см. главу 28) состоит в следующем. 
Пусть предприятие получило от поставщика услуг небольшое число дефицитных публич- 
ных [Р-адресов, которых явно недостаточно для нумерации всех узлов сети. В таком случае 
администраторы сети могут использовать для адресации практически неисчерпаемый пул 
частных адресов. Чтобы исключить коллизии, на маршрутизаторе, связывающем сеть пред- 
приятия с внешней сетью, устанавливается программное обеспечение, динамически ото- 
бражающее (транслирующее) частные адреса на набор имеющихся в наличии публичных 
адресов, присвоенных внешнему интерфейсу маршрутизатора предприятия. 


Технология бесклассовой маршрутизации СОВА 


Технология бесклассовой междоменной маршрутизации (С!аѕ51еѕѕ іпїег-Оотаіп Воийпд, 
СОВ) основана! на использовании масок для более гибкого распределения адресов и более 
эффективной маршрутизации. Она допускает произвольное разделение іР-адреса на поля для 
нумерации сети и узлов. При такой системе адресации клиенту может быть выдан пул адресов, 
более точно соответствующий его запросу, чем это происходит при адресации, основанной на 
классах адресов. 


Например, если клиенту А (рис. 13.4) требуется всего 13 адресов, то вместо выделения ему 
сети стандартного класса С (класса с наименьшим числом узлов — 256) ему может быть 


1 Технология СТОК описана в документах ВЕС 1517 — ВЕС 1520. 
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назначен пул адресов 193.20.30.0/28. Эта запись интерпретируется следующим образом: 
«сеть, не принадлежащая ни к какому стандартному классу, номер которой содержится 
в 28 старших двоичных разрядах [Р-адреса 193.20.30.0, имеющая 4-битовое поле для нуме- 
рации 16 узлов». Все это вполне удовлетворяет требованиям клиента А. Очевидно, что та- 
кой вариант намного более экономичен, чем раздача сетей стандартных классов «целиком». 


1100 0001.0001 0100.0000 0000.0000 0000 193.20.0.0 
Пет локте НИЕ 193.20.30.0 
193.20.30.0/23 злов р 

ара ————— Е 193.20.31.255 Адресный пул 

— 23 разряда узлов 193.20.0.0/14 

— 9 бит количество узлов 2 
Сеть клиента А 193.20:30.0/28 1 | 930300. 

1100 0001.0001 01 193.23.255.255 


— 


Префикс 
поставщика Номера Аа 6 
— 14 разрядов поставщика — ит 


Разрядность адреса — 32 бита 


Рис. 13.4. Схема распределения адресного пространства в соответствии с СОН 


Определение пула адресов в виде пары /Р-адрес/маска возможно только при выполнении 
нескольких условий. Прежде всего адресное пространство, из которого организация, рас- 
пределяющая адреса, «нарезает» адресные пулы для заказчиков, должно быть непрерыв- 
ным. При таком условии все адреса имеют общий префикс — одинаковую последователь- 
ность цифр в старших разрядах адреса. 


Пусть, например, как показано на рис. 13.4, провайдер располагает адресами в диапазоне 
193.20.0.0-193.23.255.255 или в двоичной записи: 


1100 0001.0001 0100.0000 0000.0000 0000—1100 0001.0001 0111.1111 1111.1111 1111. 


Здесь префикс провайдера имеет длину 14 разрядов — 1100 0001.0001 01, что можно за- 
писать в виде193.20.0.0/14. Префикс обычно интерпретируется как номер подсети. 


Назначение адресов в виде ІР-адрес/маска корректно лишь в случае, если поле для адре- 
сации узлов, полученное применением маски к ІР-адресу, содержит только нули. Напри- 
мер, определение пула адресов в виде 193.20.0.0/12 ошибочно, так как в поле номера сети 
(в 20 младших битах) содержится не нулевое значение 0100.0000 0000.0000 0000. В то же 
время префикс может оканчиваться нулями, например, определение пула 193.20.0.0/25, 
в котором префикс имеет значение 1100 0001.0001 0100.0000 0000.0, вполне корректно. 
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Итак, для обобщенного представления пула адресов в виде /Р-адрес/п справедливы сле- 
дующие утверждения: 


Ц значением префикса (номера сети) являются п старших двоичных разрядов [Р-адреса; 
О поле для адресации узлов состоит из (32 – п) младших двоичных разрядов [Р-адреса; 
Ц первый по порядку номер узла должен состоять только из нулей; 

Ч количество адресов в пуле равно 2(32-”). 


Благодаря СТОК провайдер получает возможность «нарезать» блоки из выделенного ему 
адресного пространства в соответствии с действительными требованиями каждого клиента 
(в главе 14 мы обсудим, как технология СТОК помогает не только экономно расходовать 
адреса, но и эффективнее осуществлять маршрутизацию). 


Отображение ІР-адресов 
на локальные адреса 


Одной из главных задач, ставившихся при создании протокола ІР, являлось обеспечение 
совместной согласованной работы сети, состоящей из подсетей, в общем случае исполь- 
зующих разные сетевые технологии. При перемещении [Р-пакета по составной сети 
взаимодействие технологии ТСР/Р с локальными технологиями подсетей происходит 
многократно. На каждом маршрутизаторе протокол ІР определяет, какому следующему 
маршрутизатору в этой сети надо направить пакет. В результате решения этой задачи про- 
токолу ІР становится известен /Р-адрес интерфейса следующего маршрутизатора (или 
конечного узла, если эта сеть является сетью назначения). Чтобы локальная технология 
сети смогла доставить пакет следующему маршрутизатору, необходимо: 


Ц упаковать пакет в кадр соответствующего для данной сети формата (например, 
Есһегпеё); 


О снабдить данный кадр локальным адресом следующего маршрутизатора. 
Решением этих задач занимается уровень сетевых интерфейсов стека ТСР/ІР. 


Итак, никакой функциональной зависимости между локальным адресом и его [Р-адресом 
не существует, следовательно, единственный способ установления соответствия — ведение 
таблиц. В результате конфигурирования сети каждый интерфейс «знает» свои [Р-адрес 
и локальный адрес, что можно рассматривать как таблицу, состоящую из одной строки. 
Проблема состоит в том, как организовать обмен имеющейся информацией между узлами 
сети. 


Протокол АВР 


Для определения локального адреса по ІР-адресу используется протокол разрешения адресов 
(Ааагеѕѕ Веѕоіиіоп Ргоїосо!, АЯР). АВР реализуется различным образом в зависимости от того, 
работает ли он в локальной сети (Еїћегпеї, М/і-Еі) с возможностью широковещания или же в гло- 
бальной сети (МРІЅ, АТМ), которые, как правило, не поддерживают широковещательный доступ. 


Рассмотрим работу протокола АКР в локальных сетях с широковещанием. 
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На рис. 13.5 показан фрагмент ІР-сети, включающий две сети — Еегпе{1 (из трех конеч- 
ных узлов — А, Ви С) и Еһегпеі2 (из двух конечных узлов — Ри Б). Сети подключены 
соответственно к интерфейсам 1 и 2 маршрутизатора. Каждый сетевой интерфейс имеет 
ІР-адрес и МАС-адрес. Пусть в какой-то момент [Р-модуль узла С направляет пакет узлу Ш. 
Протокол ІР узла С определил 1Р-адрес интерфейса следующего маршрутизатора — это 
ІР,. Теперь, прежде чем упаковать пакет в кадр Еќћегпеї и направить его маршрутизатору, 
необходимо определить соответствующий МАС-адрес. Для решения этой задачи прото- 
кол ІР обращается к протоколу АЕР. 


Протокол АКР поддерживает на каждом интерфейсе сетевого адаптера или маршрутиза- 
тора отдельную АКР-таблицу, в которой в ходе функционирования сети накапливается 
информация о соответствии между ІР-адресами и МАС-адресами других интерфейсов 
данной сети. Первоначально, при включении компьютера или маршрутизатора в сеть, все 
его АКР-таблицы пусты. 


Маршрутизатор 


Фу ' 


ТМАС. ІР,| МАС, 


АКР-ответ 


(4) 


Рис. 13.5. Схема работы протокола ААР 


1. Напервом шаге происходит передача от протокола ІР протоколу АКР примерно такого 
сообщения: «Какой МАС-адрес имеет интерфейс с адресом ІР;?» 


2. Работа протокола АКР начинается с просмотра собственной АКР-таблицы. Предпо- 
ложим, что среди содержащихся в ней записей отсутствует запрашиваемый [Р-адрес. 


3. В этом случае протокол АКР формирует АКР-запрос, вкладывает его в кадр протокола 
Есћегпеѓ и широковещательно рассылает. Заметим, что зона распространения АКР- 
запроса ограничивается сетью Еїћегпе(1, так как на пути широковещательных кадров 
барьером стоит маршрутизатор. 
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4. Все интерфейсы сети Ећегпеі получают АКР-запрос и направляют его «своему» про- 
токолу АКР. АКР сравнивает указанный в запросе адрес ІР; с [Р-адресом собственного 
интерфейса. 


5. Протокол АКР, который констатировал совпадение (в данном случае это АКР интер- 
фейса 1 маршрутизатора), формирует АКР-ответ, в котором маршрутизатор указывает 
локальный адрес МАС ;, соответствующий адресу ІР; своего интерфейса, и отправляет 
его запрашивающему узлу (в данном примере узлу С). 


На рис. 13.6 показан кадр Еќћегпеѓ с вложенным в него АКР-сообщением. АКР-запросы 
и АКР-ответы имеют один и тот же формат. В табл. 13.3 в качестве примера приведены 
значения полей реального АКР-запроса, переданного по сети Ефегпей!. 


Кадр Еѓћегпеї 


АКР-запрос или АКР-ответ 


Рис. 13.6. Инкапсуляция ААР-сообщений в кадр Еїћегпеї 


Таблица 13.3. Пример ААР-запроса 


ГЕ О 


В поле типа сети для сетей Еїћегпеѓ указывается значение 1. Поле типа протокола по- 
зволяет использовать протокол АКР не только с протоколом Ір, но и с другими сетевыми 
протоколами. Для [Р значение этого поля равно 0х0800. Длина локального адреса для 
протокола Есћегпеѓ равна 6 байт, а длина ІР-адреса — 4 байта. В поле операции для АКР- 
запросов указывается значение 1, для АКР-ответов — значение 2. Из запроса видно, что 
в сети Е{тегпе узел с ІР-адресом 194.85.135.75 пытается определить, какой МАС-адрес 
имеет другой узел той же сети, сетевой адрес которого 194.85.135.65. Поле искомого локаль- 
ного адреса заполнено нулями. 


і Символы 0х означают, что за ними следует число, записанное в шестнадцатеричном формате. 


416 Часть М. Сети ТСРЛР 


Ответ присылает узел, опознавший свой ІР-адрес. Если в сети нет интерфейса с искомым 
ІР-адресом, то АКР-ответа не будет. Протокол ІР уничтожает [Р-пакеты, направляемые по 
этому адресу. В табл. 13.4 показаны значения полей АКР-ответа, который мог бы поступить 
на приведенный в табл. 13.3 АКР-запрос. 


Таблица 13.4. Пример АВР-ответа 


В результате обмена АКР-сообщениями модуль ІР, пославший запрос с интерфейса, имею- 
щего адрес 194.85.135.75, определил, что ІР-адресу 194.85.135.65 соответствует МАС-адрес 
00Е0Е77Е1920. Теперь операция упаковки ІР-пакета в кадр Еѓћегпеё может быть успешно 
завершена. 


Чтобы уменьшить число АКР-обращений, запись о найденном соответствии между [Р- 
адресом и МАС-адресом сохраняется в АКР-таблице соответствующего интерфейса. Эта 
запись в АКР-таблице появляется автоматически, спустя несколько миллисекунд после 
того, как модуль АКР проанализирует АКР-ответ. 


Протокол АВР получив запрос, прежде всего просматривает свою АКР-таблицу и делает 
широковещательный запрос только в том случае, если в таблице нет записи о запрошенном 
адресе. АКР-таблица пополняется не только за счет поступающих на данный интерфейс 
АКР-ответов, но и в результате извлечения полезной информации из широковещательных 
АКР-запросов. Действительно, в каждом запросе, как это видно из таблиц 13.3 и 13.4, со- 
держатся [Р- и МАС-адреса отправителя. Все интерфейсы, получившие этот запрос, могут 
поместить информацию о соответствии локального и сетевого адресов отправителя в соб- 
ственную АКР-таблицу. В частности, все узлы, получившие АКР-запрос (см. табл. 13.3), 
могут пополнить свою АКР-таблицу записью: 


194.85.135.75 — 008048ЕВ7Еб0 


Таким образом, АКР-таблица, в которую в ходе работы сети были добавлены две упомя- 
нутые нами записи, может иметь вид (табл. 13.5). 


Таблица 13.5. Пример АВР-таблицы 
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В АКР-таблицах существуют два типа записей: динамические и статические. Статические 
записи создаются вручную с помощью утилиты агр и не имеют срока устаревания, точнее, 
они существуют до тех пор, пока компьютер или маршрутизатор остается включенным. 
Динамические записи должны периодически обновляться. Если запись не обновлялась 
в течение определенного времени (порядка нескольких минут), то она исключается из та- 
блицы. Таким образом, в АКР-таблице содержатся записи не обо всех узлах сети, а только 
о тех, которые активно участвуют в сетевых операциях. Поскольку такой способ хранения 
информации называют кэшированием, АКР-таблицы иногда называют АКР-кэшем. 


ПРИМЕЧАНИЕ 


Некоторые реализации протоколов ІР и АКР не ставят ІР-пакеты в очередь на время ожидания АКР- 
ответов. Вместо этого ІР-пакет просто уничтожается, а его восстановление возлагается на модуль ТСР 
или прикладной процесс, работающий через протокол ОПР. Такое восстановление выполняется за 
счет тайм-аутов и повторных передач. Успешность повторной передачи обеспечивается первой по- 
пыткой, которая вызывает заполнение АКР-таблицы. 


Совсем другой способ разрешения адресов используется в глобальных сетях, в которых не 
поддерживается широковещательная рассылка. Здесь администратору сети чаще всего при- 
ходится вручную формировать и помещать на какой-либо сервер АКР-таблицу, в которой 
он задает, например, соответствие ІР-адресов адресам Х.25, имеющим для протокола ІР 
смысл локальных адресов. 


В то же время сегодня наметилась тенденция автоматизации работы протокола АКР 
и в глобальных сетях. Для этой цели среди всех маршрутизаторов, подключенных к какой- 
либо глобальной сети, выделяется специальный маршрутизатор — АВР-сервер, который 
ведет АКР-таблицу для всех остальных узлов и маршрутизаторов этой сети. При таком 
централизованном подходе единственное, что требуется сделать вручную, — это занести 
в память всех компьютеров и маршрутизаторов ІР-адрес и локальный адрес АКР-сервера. 
При включении каждый узел и маршрутизатор регистрируют свой адрес в АКР-сервере. 
Всякий раз, когда возникает необходимость определения по [Р-адресу локального адреса, 
модуль АКР обращается к АКР-серверу с запросом и автоматически получает ответ. 


В некоторых случаях возникает обратная задача — нахождение ІР-адреса по известному 
локальному адресу. Тогда в действие вступает реверсивный протокол разрешения адресов 
(Кеуегѕе АдЯгеѕѕ Кезоа оп Ргоќосо1, КАКР). Этот протокол используется, например, при 
старте бездисковых станций, не знающих в начальный момент времени своего ІР-адреса, 
но знающих МАС-адрес своего сетевого адаптера. 


Протокол Ргоху-АВР 


Протокол Ргоху-АВР — это разновидность протокола АВР позволяющая отображать ІР-адреса 
на аппаратные адреса в сетях, поддерживающих широковещание, даже в тех случаях, когда ис- 
комый узел находится за пределами данного домена коллизий. 


На рис. 13.7 показана сеть, один из конечных узлов которой (компьютер 0) работает в ре- 
жиме удаленного узла. В этом режиме узел обладает всеми возможностями компьютеров 
основной части сети Ефегпее и, в частности, имеет 1Р-адрес (ІРр), относящийся к той же 
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сети. Для всех конечных узлов сети Ефегпе{ особенности подключения удаленного узла 
(наличие модемов, коммутируемая связь, протокол РРР) абсолютно прозрачны — они 
взаимодействуют с ним обычным образом. Чтобы такой режим взаимодействия стал 
возможным, среди прочего необходим протокол Ргоху-АКР. Поскольку удаленный узел 
подключен к сети по протоколу РРР, то он не имеет МАС-адреса. 


Маршрутизатор 


РКОХУ-АКР 


АКР-таблица 1 


МАС, ІР, | МАС. 


я 


АКР-ответ 
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Рис. 13.7. Схема работы протокола Ргоху-АВР 


Пусть приложение, работающее, например, на компьютере С, решает послать пакет ком- 
пьютеру О. Ему известен [Р-адрес узла назначения (ІР), однако, как отмечено, для 
передачи пакета по сети Е(ћегпеѓ его необходимо упаковать в кадр Е{Бегпе и снабдить 
МАС-адресом. Для определения МАС-адреса [Р-протокол узла С обращается к протоколу 
АВР, который посылает широковещательное сообщение с АКР-запросом. Если бы в этой 
сети на маршрутизаторе не был установлен протокол Ргоху-АКР то на этот запрос не от- 
кликнулся бы ни один узел. 


Однако протокол Ргоху-АКР установлен на маршрутизаторе и работает следующим об- 
разом. При подключении к сети удаленного узла Р в таблицу АКР-маршрутизатора за- 
носится запись 


ТРь — МАС, — 102 
Эта запись означает, что: 


О при поступлении АКР-запроса на маршрутизатор относительно адреса ІРР в АКР- 
ответ будет помещен аппаратный адрес МАСТ, соответствующий аппаратному адресу 
интерфейса 1 маршрутизатора; 


О узел, имеющий адрес ІРр, подключен к интерфейсу 2 маршрутизатора. 
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В ответ на посланный узлом С широковещательный АКР-запрос откликается маршрутиза- 
тор с установленным протоколом Ргоху-АКР. Он посылает «ложный» АКР-ответ, в кото- 
ром на место аппаратного адреса компьютера О помещает собственный адрес МАС.. Узел С, 
не подозревая «подвоха», посылает кадр с ІР-пакетом по адресу МАС,. Получив кадр, 
маршрутизатор с установленным протоколом Ргоху-АКР «понимает», что он направлен 
не ему (в пакете указан чужой [Р-адрес) и поэтому надо искать адресата в АКР-таблице. 
Из таблицы видно, что кадр надо направить узлу, подключенному ко второму интерфейсу. 


Мы рассмотрели простейшую схему применения протокола Ргоху-АКР которая, тем не 
менее, достаточно полно отражает логику его работы. 


Доменная служба имен ОМ№$ 


Доменная служба имен (Оотаіп Мате Ѕегмісе, 9М№$) отображает символьные имена узлов сети 
на их ІР-адреса (как |Р\4, так и 1Руб). Доменная служба имен является важной частью Интернета, 
но она может работать и в любой автономной ІР-сети. 


Пространство ОМ№$-имен 


В операционных системах, первоначально предназначенных для локальных сетей (№ №оуе!] 
МесМаге, М1сгозой УЛп4до\$ или ІВМ О5/2), пользователи всегда работали с символь- 
ными именами компьютеров. Так как локальные сети состояли из небольшого числа 
компьютеров, применялись так называемые плоские имена, состоящие из последователь- 
ности символов, не разделенных на части. Примерами таких имен являются ММ/1_1, тан2, 
МО$СОМ/_ЗАТЕ$_2. Для установления соответствия между символьными именами и МАС- 
адресами в этих операционных системах применялся механизм широковещательных за- 
просов, подобный механизму запросов протокола АКР. Так, широковещательный способ 
разрешения имен реализован в протоколе Ме ВТО$, на котором были построены многие 
локальные ОС. Так называемые М№еВОЗ-имена стали на долгие годы одним из основных 
типов плоских имен в локальных сетях. 


Для стека ТСР/И[Р, рассчитанного в общем случае на работу в больших территориально 
распределенных сетях, подобный подход оказывается неэффективным. В стеке ТСР/ 
[Р применяется доменная система имен, которая имеет иерархическую древовидную 


структуру, допускающую наличие в имени произвольного количества составных частей 
(рис. 13.8). 


Иерархия доменных имен аналогична иерархии имен файлов, принятой во многих по- 
пулярных файловых системах. Дерево имен начинается с корня, обозначаемого здесь точ- 
кой. Затем следует старшая символьная часть имени, вторая по старшинству символьная 
часть имени и т. д. Младшая часть имени соответствует конечному узлу сети. В отличие от 
имен файлов, при записи которых сначала указывается самая старшая составляющая, затем 
составляющая более низкого уровня и т. д., запись доменного имени начинается с самой 
младшей составляющей, а заканчивается самой старшей. Составные части доменного име- 
ни отделяются друг от друга точкой. Например, в имени һоте.тісгоѕоћ.сот составляющая 
поте является именем одного из компьютеров в домене тісгоѕой.сот. 
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Домены первого уровня 
Корень 


оК 


Домены второго уровня 


Рис. 13.8. Пространство доменных имен 


Разделение имени на части позволяет разделить административную ответственность за 
назначение уникальных имен между различными людьми или организациями в пределах 
своего уровня иерархии. Так, для примера, приведенного на рис. 13.8, некоторая органи- 
зация может нести ответственность за то, чтобы все имена с окончанием «ги» имели уни- 
кальную следующую вниз по иерархии часть. То есть все имена типа ммм. ги, таіі.тгЁ.ги или 
т2.211.тті.ги отличаются второй по старшинству частью. Разделение административной 
ответственности позволяет решить проблему образования уникальных имен без взаимных 
консульгаций между организациями, отвечающими за имена одного уровня иерархии. 
Очевидно, что должна существовать одна организация, отвечающая за назначение имен 
верхнего уровня иерархии. 


Совокупность имен, у которых несколько старших составных частей совпадают, образу- 
ют домен имен (пате іотаіп). Например, имена ммм.21ї.тгтї.ги, #р.211.ттїі.ги, уапдех.ги 
и 51.тади.ги входят в домен ги, так как все они имеют одну общую старшую часть — имя ги. 
Другим примером является домен тдч.ги. Из представленных на рис. 13.8 имен в него 
входят имена $1.тоди.ги, $2.таи.ги и т.тодч.ги. Этот домен образуют имена, у которых 
две старшие части равны тои.ги. Администратор домена тои.ги несет ответственность за 
уникальность имен следующего уровня, входящих в домен, то есть имен $1, $2 и т. Обра- 
зованные домены $1.точц.ги, $2.тачц.ги и т.тац.ги являются поддоменами домена таи. и, 
так как имеют общую старшую часть имени. Часто поддомены для краткости называют 
только младшей частью имени, то есть в нашем случае поддоменами являются $1, $2 и т. 
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Как и в файловой системе, в доменной системе имен различают краткие, относительные 
и полные доменные имена. Краткое доменное имя — это имя конечного узла сети: хоста 
или порта маршрутизатора. Краткое имя — это лист дерева имен. Относительное домен- 
ное имя — это составное имя, начинающееся с некоторого уровня иерархии, но не самого 
верхнего. Например, ммм.2і! — это относительное имя. Полное доменное имя включает 
составляющие всех уровней иерархии, начиная от краткого имени и кончая корневой точ- 
кой: ммм№.211.ттЁ.ги. Если в каждом домене и поддомене обеспечивается уникальность имен 
следующего уровня иерархии, то и вся система имен будет состоять из уникальных имен. 


ВНИМАНИЕ 


Компьютеры, имена которых относятся к одному и тому же домену, могут иметь абсолютно незави- 
симые друг от друга ІР-адреса, принадлежащие разным сетям и подсетям. Например, в домен теи.ги 
могут входить хосты с адресами 132.13.34.15, 201.22.100.33 и 14.0.0.6. 


Корневой домен имен управляется центральными органами Интернета, в частности, такой 
организацией, как ІСАММ. 


Домены верхнего уровня назначаются для каждой страны, а также для различных типов 
организаций. Для обозначения стран используются трехбуквенные и двухбуквенные аббре- 
виатуры, например, ги (Россия), ик (Великобритания), ї (Финляндия), из (Соединенные 
Штаты), а для различных типов организаций, например, следующие обозначения: 


О сот — коммерческие организации (например, тісгоѕоћ.сот); 
О еаи — образовательные организации (например, тИ.еди); 

О доу — правительственные организации (например, п$1.д0\); 
О огд — некоммерческие организации (например, Ядопе{.ога); 
О пе — сетевые организации (например, пѕ#.пей). 


Каждый домен администрирует отдельная организация, которая обычно разбивает свой 
домен на поддомены и передает функции администрирования этих поддоменов другим 
организациям. 


Сервер, клиент и протокол ОМ№$ 


Широковещательный способ установления соответствия между символьными именами 
и локальными адресами, подобный реализованному в протоколе АКР хорошо работает 
только в небольшой локальной сети, не разделенной на подсети. В крупных сетях, где 
возможность всеобщей широковещательной рассылки не поддерживается, нужен другой 
способ разрешения символьных имен. Альтернативой широковещательной рассылке 
является применение централизованной службы, поддерживающей соответствие между 
символьными именами и [Р-адресами всех компьютеров сети. На раннем этапе развития 
Интернета на каждом хосте вручную создавался текстовый файл отображений с известным 
именем һоѕ{5.їхї. Этот файл состоял из некоторого количества строк, каждая из которых 
содержала одну пару «доменное имя — ІР-адрес», например: 


гпіпо.асте.сот — 102.54.94.97 


По мере роста Интернета файлы һоѕіѕ.іхї также увеличивались в объеме, и создание мас- 
штабируемого решения для отображения имен стало необходимостью. Таким решением 
стала централизованная справочная служба — система доменных имен (Оотаіп Мате 
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Зужет —0М№5$), основанная на распределенной базе отображений «доменное имя — ІР- 
адрес». 


Как и всякая сетевая служба, система ОМ$ состоит из серверов и клиентов. ОМ$-серверы 
поддерживают распределенную базу отображений, а О№$-клиенты обращаются к серверам 
с запросами об отображении доменного имени на [Р-адрес (эту процедуру называют также 
«разрешением» доменного имени). 


О№ -клиентом является практически каждый узел Интернета, будь то клиентский компью- 
тер, сервер приложений или маршрутизатор. Программа, реализующая функции клиента 
ОМ, называется резольвером, обычно она входит в состав ОС. Приложение (например, 
веб-браузер), когда у него возникает необходимость в отображении доменного имени (на- 
пример, имени сайта), не делает запрос напрямую к службе ОМ$, а обращается к резольверу 
своей ОС, который затем взаимодействует с ОМ№$-сервером. Резольверу должен быть изве- 
стен ГР-адрес, по крайней мере одного О№5-сервера, этот адрес конфигурируется вручную 
или же получается по протоколу ОНСР о котором мы будем говорить в следующем разделе. 


Подавляющее большинство ОМ№$-серверов использует программное обеспечение ВИМО 
(Вегкееу Пцегпе Мате ОРотаіп), разработанное в Калифорнийском университете Беркли. 


Сервер и клиент службы ОМ$ взаимодействуют по протоколу ОМ$. Сообщения этого про- 
токола чаще всего передаются в дейтаграммах ОРЮР с портом сервера 53, но в некоторых 
случаях, требующих повышенной надежности, служба ОМ$ обращается к услугам ТСР. 


Иерархическая организация службы О№$ 


Иерархию образуют 0М№$-серверы. На самой вершине иерархии располагаются корневые 
серверы. Корневые серверы хранят текстовые файлы имен и ІР адресов О№5- серверов 
следующего уровня, называемого верхним ({ор]1еуе| ОМ№$, ИОМ5 или ТГ.О). Серверы верх- 
него уровня хранят данные об именах и адресах имен, входящих в домены верхнего уровня 
(сот, ги или т), а также об именах серверов ОМ$, которые обслуживают домены второго 
уровня иерархии (сіѕсо.сот, уап4ех.ги ит. п.). 


Сервер 0№5 отвечает на запросы клиентов на основе информации, содержащейся в тек- 
стовых файлах отображений имен, хранящихся на данном сервере. В принципе, сервер 
0О№5 мог бы хранить данные всех отображений, входящих в некоторый домен со всеми 
его поддоменами; при таком подходе сервер верхнего уровня, отвечающий, например, за 
домен сот, хранил бы в своих файлах записи всех имен, кончающихся на сот: іІрт.сот, 
ууү.ірт.сот, МММ 2 ібт.сот, сіѕсо.сот, муу.сіѕсо.сот и т. д. Понятно, что такой подход 
не масштабируем и не может работать в глобальной сети. 


Поэтому пространство доменных имен «разрезают» между серверами 0№, обычно так, 
чтобы сервер ОМ№5$ хранил записи только в пределах одного уровня, а для имен своих 
поддоменов хранил только ссылки на серверы ОМЗ, которые отвечают за эти поддомены. 
Например, 0М№-сервер верхнего уровня, отвечающий за домен сот, хранит только записи 
листьев своего домена, например имени \\\.сот, а также имен серверов ОМ№5, которые 
обслуживают поддомены домена сот, например О№-сервера поддомена сіѕсо.сот. 


Часть пространства доменных имен, для которых некоторый сервер ОМ№$ имеет информацию об 
их отображениях на основе соответствующего текстового файла, называется зоной ОМ№$ данного 
сервера, а сам текстовый файл — файлом зоны. 
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Когда сервер 0№5 дает ответ о записи, входящей в зону, за которую он отвечает, такой от- 
вет называется полномочным ответом ОМ$ (аи фогкайуе, что можно также перевести как 
официальный, авторитетный или аутентичный). Как мы увидим далее, сервер 0№5 может 
также давать неполномочный ответ, если запрос относится не к его зоне, но он знает ответ 
на него за счет кэширования ответов других серверов. 


Файл зоны состоит из текстовых записей нескольких типов: 

О запись типа А — отображает имя в [Ру4-адрес; 

О запись типа АААА — отображает имя в [Руб-адрес; 

О запись типа № — определяет имя О№$-сервера для некоторого домена; 

О запись типа М5 — определяет имя почтового сервера для некоторого домена, 
а также некоторых других. 


Протокол Ю№Ѕ позволяет клиенту делать запросы относительно некоторого доменного 
имени, задавая тип записи или же запрашивая все типы, относящиеся к данному имени. В си- 
стеме ОМ5 поддерживает не только отображение типа «один-к-одному», но и отображения 
«многие-к-одному» и «один-ко-многим». То сеть хост может иметь, кроме одного основного 
доменного имени, несколько так называемых псевдонимов (а|іаѕ). Такое свойство оказывается 
полезным, например, когда владелец коммерческого сайта не хочет терять клиентов из-за 
того, что они могут ошибиться при наборе имени, поэтому он поддерживает в файле зоны 
О№5 некоторый набор похожих имен, которые все отображаются на один ІР-адрес. 


Отображение «один-ко-многим» используется для распараллеливания нагризки на веб- 
серверы, которые испытывают перегрузку от наплыва запросов. Для этого перегруженный 
сервер заменяют несколькими функционально подобными серверами. В файле зоны ОМ$ 
создается запись, в которой доменному имени данного веб-сервера ставится в соответствие 
набор ІР-адресов дублирующих серверов. В ответе на каждый запрос О№$-сервер посылает 
весь набор ІР-адресов, рредварительно сдвинув его на одну позицию, поэтому нагрузка рас- 
пределяется между всеми дублирующими серверами. Для обеспечения надежности и вы- 
сокой производительности для каждой зоны существует один первичный (ргітагу) сервер 
ОМ$ и несколько вторичных (зесоп4агу) серверов ОМ$. На первичном сервере находится 
исходный файл зоны — мастер-копия файла зоны, которая редактируется администратором 
сервера; вторичные серверы периодически копируют файл зоны с первичного сервера, для 
этого может использоваться протокол О№5, в котором имеется соответствующий тип за- 
проса, или же администратор может использовать любой протокол копирования файлов, 
например, Ёр или $ср. Если файл зоны передается по протоколу ОМ$, то для повышения 
надежности используется протокол ТСР (порт 53). 


Итеративная и рекурсивная процедуры 
разрешения имени 


Существуют две основные схемы разрешения 03№-имен. В первом варианте, называемом 
итеративной процедурой, работу по поиску ІР-адреса координирует ОМ№5-клиент: он ите- 
ративно выполняет последовательность запросов к разным серверам имен. Рассмотрим 
эту процедуру на примере (рис. 13.9, а): 


1. О№$-клиент обращается к корневому ОМ№$-серверу с указанием полного доменного 
имени м\\.211.птё.ги хоста, для которого он хочет найти [Р-адрес. 
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2. Корневой ОМ№-сервер отвечает клиенту, указывая адреса ОМ№$-серверов верхнего 


уровня, обслуживающих домен, заданный в старшей части запрошенного имени, 
в данном случае — домен ги. 


О№$-клиент делает следующий запрос к одному из предложенных ему О№$-серверов 
верхнего уровня, который отсылает его к 0№-серверу нужного поддомена (в примере 
это сервер, отвечающий за зону ттї.ги), и так далее, пока не будет найден ОМ№$-сервер, 
в котором хранится отображение запрошенного имени на [Р-адрес. Этот сервер дает 
окончательный ответ клиенту, который теперь может установить связь с хостом по 
[Р-адресу 194.85.13.5. 


ОМ№$5-сервер 
верхнего Корневой Корневой „. ОМ№$-сервер АН 
уровня, Г сервер сервер „Ш, кереге З | 
отвечает уровня, сервер | 
за зону КУ ОМ№-сервер отвечает | Ы 
| верхнего за зону КО 
ОМЅ Ў Бл-запрос Аан ОМ№$-сервер 
-сервер, МЛМ 21 [19 З $ . 
аве а за зону КУ +” ‚ Локальный отвечающий ‚ ‘Локальный 
за зону тті.ги 0№5- ^^ 15 ОМ$-сервер за зону пт * | ОМ№Ѕ-сервер 
у = р 2 ОМ№$5-запрос 
а ОМ№5-сервер, ОМ№ -запрос Ш? ммм. 2. тті.ги? 
оне отв отвечающий т р МММУ.211.тгт.ги? 
|Р=194.85.13.5 / 38 ЗОНУ тті.ги ву" О№5-ответ. 
к к “” 1Р=194.85.13.5 
| т. оный 
О№ $-сервер, <: т отвечающий с 
отвечающий ОМ$-сервер, М ОМ$-клиент | за зону 21. ОМ5-клиент | 
за зону гії. тті отвечающии ИР, / / 
за зону 21. РА А 
и р йс Р. 
Хост №: Хост №: Хост Є: 
МУМУУУ.2:11. тп. ги МУУУУ.211. тг. ги МУУУУ.2:11. ПГП. ги 
|Р=194.85.13.5 1Р=194.85.13.5 |Р=194.85.13.5 


а) Итеративная процедура 


6) Рекурсивная процедура 


в) Смешанная процедура 


Рис. 13.9. Процедуры разрешения имен 


Во втором варианте (рис. 13.9, 6) выполняется рекурсивная процедура. Здесь О№5-клиент 
перепоручает всю работу по разрешению имени цепочке ОМ№5-серверов. 


1. ОМ№5$-клиент отправляет запрос к локальному О№$-серверу, то есть серверу, обслу- 


живающему поддомен, которому принадлежит имя клиента. 


Если локальный О№5-сервер знает ответ, то он сразу же возвращает его клиенту. Это 
может быть полномочный ответ (запрошенное имя входит в тот же поддомен, что и имя 
клиента) или неполномочный ответ (сервер уже узнавал данное соответствие для дру- 
гого клиента и сохранил его в своем кэше). 


Если локальный О№5-сервер не знает ответа, то он обращается к корневому серверу, 
который переправляет запрос к О№$-серверу верхнего уровня (отвечающему за зону 
КО), который в свою очередь запрашивает нижележащий сервер (зона ттї), и так 
далее, пока запрос не дойдет до полномочного сервера, имеющего в своем файле зоны 
запись о запрошенном имени. 
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4. ОМ№$-ответ полномочного сервера проходит тот же путь по цепочке О№$-серверов 
в обратном направлении, пока не достигнет О№5-клиента, породившего данный запрос. 


В третьем варианте (рис. 13.9, в) реализуется смешанная процедура, включающая рекур- 
сивную и итеративную фазы: 


1. Начальная часть процедуры, когда О№$-клиент передает запрос локальному О№5- 
серверу и поручает ему действовать от его имени, является рекирсивнои. 


2. Затем, если локальный О№-сервер не знает ответ, то он последовательно выполняет 
итеративные запросы к иерархии серверов точно так же, как это делал 0№-клиент 
в первом варианте. Получив ответ, локальный О№$-сервер передает его клиенту. 


2№-серверы стараются не поддерживать рекурсивный режим ответов, так как это пере- 
гружает их; корневые серверы и серверы верхнего уровня всегда дают нерекурсивные 
ответы, отсылая серверы нижних уровней к серверам промежуточных уровней. Получая 
окончательный ответ от сервера вышестоящего уровня, рекурсивный сервер кэширует его 
для того, чтобы при поступлении аналогичного запроса дать быстрый неполномочный от- 
вет. Чтобы служба ОМ$ могла оперативно отрабатывать изменения, происходящие в сети, 
ответы кэшируются на относительно короткое время — обычно от нескольких часов до не- 
скольких дней (срок задается администратором полномочного сервера). 0№-сервер может 
быть открытым (в этом случае он отвечает любому клиенту) или закрытым (в этом случае 
он отвечает либо только клиентам своего предприятия (в случае корпоративного сервера), 
либо только своим подписчикам услуг доступа в Интернет (в случае провайдера)). 


Корневые серверы 


Корневые серверы — наиболее уязвимое звено! службы ОМ$, так как разрешение всех за- 
просов, ответы на которые не находятся в кэше или файле зоны какого-либо ОМ№5$-сервера 
нижнего уровня, начинаются с обращения к одному из корневых серверов. Разработчики 
системы ОМ 5 (в начале 80-х годов) понимали это, поэтому изначально было решено 
обеспечить высокую степень резервирования: было установлено 13 корневых серверов 
с именами а.гоої-ѕегмегѕ.пеї, б.гоої-ѕегмегѕ.пеї, с.гоої-ѕегуегѕ.пеї,... т.гоої-ѕегмегѕ.пеї и три- 
надцатью [Р-адресами. 


С тех пор организация корневых О№5$-серверов изменилась. Вместо 13 серверов Интернет 
обслуживает более 300 — в августе 2013 года их было 376 (см. их географическое распреде- 
ление на рис. 13.10). Это значительно повысило отказоустойчивость и производительность 
службы Ю№5. Все корневые серверы по-прежнему разделяют те же 13 имен (от а.гоої- 
зегуег$.ога до т.гоої-ѕегуегѕ.огд) и 13 ІР-адресов. Но теперь каждому имени и адресу соот- 
ветствует кластер серверов. Например, имени #.гоої-ѕегмегѕ.пеї соответствует 56 серверов, 
а имени І.гоої-ѕегуегѕ.пеї — 146. Корневые серверы распределены географически, а каждый 
кластер, соответствующий одному имени, администрируется отдельной организацией. 


Обратная зона 


Служба ОМ$ предназначена не только для нахождения [Р-адреса по имени хоста, но и для 
решения обратной задачи — нахождения ОМ№$-имени по известному ІР-адресу. 


1 Об атаках и методах защиты ОМ№5-серверов читайте в главе 29. 
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Рис. 13.10. Географическое распределение корневых серверов ОМ№$ (источник: гоої-ѕегмегѕ.огд) 


Многие программы и утилиты, пользующиеся службой ОМ, пытаются найти имя узла 
по его адресу в том случае, когда пользователем задан только адрес (или этот адрес про- 
грамма узнала из пришедшего пакета). Обратная запись не всегда существует даже для 
тех адресов, для которых есть прямые записи. Ее могут просто забыть создать или же ее 
создание требует дополнительной оплаты. Обратная задача решается в Интернете путем 
организации так называемых обратных зон. 


Обратная зона — это система таблиц, которая хранит соответствие между ІР-адресами и ОМ$- 
имена хостов некоторой сети. Для организации распределенной службы и использования для 
поиска имен того же программного обеспечения, что и для поиска адресов, применяется ориги- 
нальный подход, связанный с представлением ІР-адреса в виде ОМ$-имени. 


Первый этап преобразования заключается в том, что составляющие [Р-адреса интерпрети- 
руются как составляющие О№$-имени. Например, адрес 192.31.106.0 рассматривается как 
состоящий из старшей части, соответствующей домену 192, затем идет домен 31, в который 
входит домен 106. 


Далее, учитывая, что при записи ІР-адреса старшая часть является самой левой частью 
адреса, а при записи О№$5-имени — самой правой, то составляющие в преобразованном 
адресе указываются в обратном порядке, то есть для данного примера — 106.31.192. Для 
хранения отображений всех адресов, начинающихся, например, с числа 192, заводится 
зона 192 со своими серверами имен. Для записей о серверах, поддерживающих старшие 
в иерархии обратные зоны, создана специальная зона іп-адаг.агра, поэтому полная запись 
для использованного в примере адреса выглядит так: 


106.31.192 .іп-аааг.агра 


Серверы для обратных зон используют файлы баз данных, не зависящие от файлов ос- 
новных зон, в которых имеются записи о прямом соответствии тех же имен и адресов. 


Глава 13. Адресация в стеке протоколов ТСРЛР 427 


Такая организация данных может приводить к несогласованности, так как одно и то же 
соответствие вводится в файлы дважды. 


Протокол ОНСР 


Для нормальной работы сети каждому сетевому интерфейсу компьютера и маршрутизатора 
должен быть назначен [Р-адрес. 


Процедура присвоения адресов происходит в ходе конфигурирования компьютеров 
и маршрутизаторов. Назначение ІР-адресов может происходить вручную в результате 
выполнения процедуры конфигурирования интерфейса, для компьютера сводящейся, 
например, к заполнению системы экранных форм. При этом администратор должен пом- 
нить, какие адреса из имеющегося множества он уже использовал для других интерфейсов, 
а какие еще свободны. При конфигурировании помимо ІР-адресов сетевых интерфейсов 
(и соответствующих масок) устройству сообщается ряд других конфигурационных па- 
раметров. При конфигурировании администратор должен назначить клиенту не только 
[Р-адрес, но и другие параметры стека ТСР/ІР, необходимые для его эффективной работы, 
например маску и ІР-адрес маршрутизатора, предлагаемые по умолчанию, ІР-адрес ОМ№5- 
сервера, доменное имя компьютера и т. п. Даже при не очень большом размере сети эта 
работа представляет для администратора утомительную процедуру. 


Протокол динамического конфигурирования хостов (Оупатіс Ноѕї СопИдиганоп Рготосо1, 
ОНСР) автоматизирует процесс конфигурирования сетевых интерфейсов, гарантируя от дубли- 
рования адресов за счет централизованного управления их распределением. 


Режимы ОНСР 


Протокол ОНСР работает в соответствии с моделью клиент-сервер. Во время старта ОС 
компьютер, являющийся ОНСР-клиентом, посылает в сеть широковещательный запрос на 
получение [Р-адреса. ОНСР-сервер откликается и посылает сообщение-ответ, содержащее 
[Р-адрес и ряд других конфигурационных параметров. При этом ОНСР-сервер может 
работать в разных режимах, включая: 


О ручное назначение статических адресов; 
автоматическое назначение статических адресов; 
Ш автоматическое распределение динамических адресов. 


Во всех режимах работы администратор при конфигурировании ОНСР-сервера сообщает 
ему один или несколько диапазонов ІР-адресов, причем все эти адреса относятся к одной 
сети, то есть имеют одно и то же значение в поле номера сети. 


В ручном режиме администратор, помимо пула доступных адресов, снабжает ОНСР- 
сервер информацией о жестком соответствии ІР-адресов физическим адресам или другим 
идентификаторам клиентских узлов. ОНСР-сервер, пользуясь этой информацией, всегда 
выдаст определенному ОНСР-клиенту один и тот же назначенный ему администратором 
ІР-адрес (а также набор других конфигурационных параметров!). 


і Далее для краткости это уточнение будет опускаться. 
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В режиме автоматического назначения статических адресов ОНСР-сервер самостоятельно, 
без вмешательства администратора произвольным образом выбирает клиенту ІР-адрес 
из пула наличных [Р-адресов. Адрес дается клиенту из пула в постоянное пользование, 
то есть между идентифицирующей информацией клиента и его [Р-адресом по-прежнему, 
как и при ручном назначении, существует постоянное соответствие. Оно устанавливается 
в момент первого назначения ОНСР-сервером ІР-адреса клиенту. При последующих за- 
просах сервер возвращает клиенту тот же самый [Р-адрес. 


При динамическом распределении адресов ОНСР-сервер выдает адрес клиенту на огра- 
ниченное время, называемое сроком аренды. Когда компьютер, являющийся ОНСР- 
клиентом, удаляется из подсети, назначенный ему [Р-адрес автоматически освобождается. 
Когда компьютер подключается к другой подсети, то ему автоматически назначается новый 
адрес. Ни пользователь, ни сетевой администратор не вмешиваются в этот процесс. Это 
дает возможность впоследствии повторно использовать этот [Р-адрес для назначения 
другому компьютеру. Таким образом, помимо основного преимущества ОНСР — автома- 
тизации рутинной работы администратора по конфигурированию стека ТСР/ІР на каждом 
компьютере, режим динамического распределения адресов в принципе позволяет строить 
ІР-сеть, количество узлов в которой превышает количество имеющихся в распоряжении 
администратора [Р-адресов. 


Покажем преимущества, которые дает динамическое распределение пула адресов на при- 
мере. Пусть сотрудники некоторой организации значительную часть рабочего времени 
проводят вне офиса — дома или в командировках. Каждый из них имеет портативный 
компьютер, который во время пребывания в офисе подключается к корпоративной ІР-сети. 
Возникает вопрос: сколько [Р-адресов необходимо этой организации? 


Первый ответ — столько, скольким сотрудникам необходим доступ в сеть. Если их 500 че- 
ловек, то каждому из них должен быть назначен ІР-адрес и выделено рабочее место. 
То есть администрация должна получить у поставщика услуг адреса двух сетей класса С 
и оборудовать соответствующим образом помещение. Однако вспомним, что сотрудники 
в этой организации редко появляются в офисе, и, значит, большая часть ресурсов при таком 
решении будет простаивать. 


Второй ответ — столько, сколько сотрудников обычно присутствует в офисе (с некоторым 
запасом). Если обычно в офисе работает не более 50 сотрудников, то достаточно получить 
у поставщика услуг пул из 64 адресов и установить в рабочем помещении сеть с 64 коннек- 
торами для подключения компьютеров. Но возникает другая проблема — кто и как будет 
конфигурировать компьютеры, состав которых постоянно меняется? 


Существует два пути. Во-первых, администратор (или сам мобильный пользователь) 
может конфигурировать компьютер вручную каждый раз, когда возникает необходи- 
мость подключения к офисной сети. Такой подход требует от администратора (или 
пользователей) большого объема рутинной работы, словом, это плохое решение. Второй 
вариант — автоматическое динамическое назначение ОНСР-адресов. Действительно, 
администратору достаточно один раз при настройке ОНСР-сервера указать диапазон из 
64 адресов, а каждый новый мобильный пользователь будет просто физически подклю- 
чать в сеть свой компьютер, на котором запускается ОНСР-клиент. Запросив конфигу- 
рационные параметры, он автоматически получит их от ОНСР-сервера. Таким образом, 
для работы 500 мобильных сотрудников достаточно иметь в офисной сети 64 ІР-адреса 
и 64 рабочих места. 
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Динамическое назначение адресов 


Администратор управляет процессом конфигурирования сети, определяя два основных 
конфигурационных параметра ОНСР-сервера: пул адресов, доступных распределению, 
и срок аренды. Срок аренды диктует, как долго компьютер может использовать назначен- 
ный [Р-адрес, перед тем как снова запросить его у ОНСР-сервера. Срок аренды зависит от 
режима работы пользователей сети. Если это небольшая сеть учебного заведения, куда со 
своими компьютерами приходят многочисленные студенты для выполнения лабораторных 
работ, то срок аренды может быть равен длительности лабораторной работы. Если же это 
корпоративная сеть, в которой сотрудники предприятия работают на регулярной основе, 
то срок аренды может быть достаточно длительным — несколько дней или даже недель. 


ОНСР-сервер должен находиться в одной подсети с клиентами, учитывая, что клиенты 
посылают ему широковещательные запросы (рис. 13.11). Для снижения риска выхода сети 
из строя из-за отказа ОНСР-сервера в сети иногда ставят резервный ОНСР-сервер (такой 
вариант соответствует сети 1). 


ОНСР-поиск 
ОНСР-поиск / 
/ ОНСР- ОНСР- 
онсР:. бнер: ' РР Сервер ОНСР- 
клиент клиент клиент 
ЕЁ] 1 1 |) 
Е Ж = Г Бе, ремиксы 5 ржа \ 


ЕЕ Е 


Сә с 
Связной ОНСР-агент Сеть 2 


4 


Сеть 1 


а ЕНЕ 


сервер 
ОНСР- РОНСР- 
клиент клиент 


Сеть 3 


Рис. 13.11. Схемы взаимного расположения ОНСР-серверов и ОНСР-клиентов 


Иногда наблюдается и обратная картина: в сети нет ни одного ОНСР-сервера. В этом 
случае его подменяет связной ОНСР-агент — программное обеспечение, играющее роль 
посредника между ОНСР-клиентами и ОНСР-серверами (пример такого варианта — 
сеть 2). Связной агент переправляет запросы клиентов из сети 2 ОНСР-серверу сети 3. 
Таким образом, один ОНСР-сервер может обслуживать ОНСР-клиентов нескольких раз- 
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ных сетей. Вот как выглядит упрощенная схема обмена сообщениями между клиентскими 
и серверными частями ОНСР. 


1. Когда компьютер включают, установленный на нем ОНСР-клиент посылает ограни- 
ченное широковещательное сообщение ОНСР-поиска (ІР-пакет с адресом назначения, 
состоящим из одних единиц, который должен быть доставлен всем узлам данной [Р- 
сети). 


2. Находящиеся в сети ОНСР-серверы получают это сообщение. Если в сети ОНСР- 
серверы отсутствуют, то сообщение ОНСР-поиска получает связной ОНСР-агент. Он 
пересылает это сообщение в другую, возможно, значительно отстоящую от него сеть 
ОНСР-серверу, [Р-адрес которого ему заранее известен. 


З. Все ОНСР-серверы, получившие сообщение ОНСР-поиска, посылают ОНСР-клиенту, 
обратившемуся с запросом, свои ОНСР-предложения. Каждое предложение содержит 
ІР-адрес и другую конфигурационную информацию. (ОНСР-сервер, находящийся 
в другой сети, посылает ответ через агента.) 


4. ОНСР-клиент собирает конфигурационные ОНСР-предложения от всех ОНСР- 
серверов. Как правило, он выбирает первое из поступивших предложений и отправляет 
в сеть широковещательный ОНСР-запрос. В этом запросе содержатся идентификаци- 
онная информация о ОНСР-сервере, предложение которого принято, а также значения 
принятых конфигурационных параметров. 


5. Все ОНСР-серверы получают ОНСР-запрос и только один выбранный ОНСР-сервер 
посылает положительную ОНСР-квитанцию (подтверждение [Р-адреса и параметров 
аренды), а остальные серверы аннулируют свои предложения, в частности, возвращают 
в свои пулы предложенные адреса. 


6. ОНСР-клиент получает положительную ОНСР-квитанцию и переходит в рабочее 
состояние. 


Время от времени компьютер пытается обновить параметры аренды у ОНСР-сервера. 
Первую попытку он делает задолго до истечения срока аренды, обращаясь к тому серверу, 
от которого он получил текущие параметры. Если ответа нет или ответ отрицательный, то 
он через некоторое время снова посылает запрос. Так повторяется несколько раз, и если 
все попытки получить параметры у того же сервера оказываются безуспешными, то 
клиент обращается к другому серверу. Если и другой сервер отвечает отказом, то клиент 
теряет свои конфигурационные параметры и переходит в режим автономной работы. 
Также ОНСР-клиент может по своей инициативе досрочно отказаться от выделенных 
ему параметров. 


В сети, где адреса назначаются динамически, нельзя быть уверенным в адресе, который в данный 
момент имеет тот или иной узел. Такое непостоянство ІР-адресов влечет за собой некоторые 
проблемы. 


Во-первых, возникают сложности при преобразовании символьного доменного имени 
в [Р-адрес. Действительно, представьте себе функционирование системы ОМ 5, которая 
должна поддерживать таблицы соответствия символьных имен ІР-адресам в условиях, 
когда последние меняются каждые два часа! Учитывая это обстоятельство, для серверов, 
к которым пользователи часто обращаются по символьному имени, назначают статические 
ІР-адреса, оставляя динамические только для клиентских компьютеров. Но в некоторых 


Глава 13. Адресация в стеке протоколов ТСРЛР 431 


сетях количество серверов настолько велико, что их ручное конфигурирование становится 
слишком обременительным. Это привело к разработке усовершенствованной версии ОМ№$ 
(так называемой динамической системы ЮМ“), в основе которой лежит согласование ин- 
формационной адресной базы в службах ОНСР и О№. 


Во-вторых, трудно осуществлять удаленное управление и автоматический мониторинг 
интерфейса (например, сбор статистики), если в качестве его идентификатора выступает 
динамически изменяемый [Р-адрес. 


Наконец, для обеспечения безопасности сети многие сетевые устройства могут блокировать 
(фильтровать) пакеты, определенные поля которых имеют некоторые заранее заданные 
значения. Другими словами, при динамическом назначении адресов усложняется филь- 
трация пакетов по [Р-адресам. 


Последние две проблемы проще всего решаются отказом от динамического назначения 
адресов для интерфейсов, фигурирующих в системах мониторинга и безопасности. 


14 Протокол межсетевого 
взаимодействия ІР 


ІР-пакет 


В каждой очередной сети, лежащей на пути перемещения пакета, протокол ІР обращается 
к средствам транспортировки этой сети, чтобы с их помощью передать пакет на маршрути- 
затор, ведущий к следующей сети, или непосредственно на узел-получатель. Поддержание 
интерфейса с нижележащими технологиями подсетей является одной из важнейших функ- 
ций протокола ІР. В эти функции входит также поддержание интерфейса с протоколами 
вышележащего транспортного уровня, в частности с протоколом ТСР, который решает 
все вопросы обеспечения надежной доставки данных по составной сети в стеке ТСР/Р. 


Протокол ІР относится к протоколам без установления соединений, поддерживая обработку 
каждого [Р-пакета как независимой единицы обмена, не связанной с другими пакетами. 
В протоколе ІР нет механизмов, обычно применяемых для обеспечения достоверности 
конечных данных. Если во время продвижения пакета происходит какая-либо ошибка, то 
протокол ГР по своей инициативе ничего не предпринимает для ее исправления. Например, 
если на промежуточном маршрутизаторе пакет был отброшен из-за ошибки по контроль- 
ной сумме, то модуль ІР не пытается заново послать потерянный пакет. Другими словами, 
протокол [Р реализует политику доставки «по возможности». 


Имеется прямая связь между количеством полей заголовка пакета и функциональной 
сложностью протокола, который работает с этим заголовком. Чем проще заголовок, тем 
проще соответствующий протокол. Большая часть действий протокола связана с обработ- 
кой той служебной информации, которая переносится в полях заголовка пакета. Изучая 
назначение каждого поля заголовка [Р-пакета (рис. 14.1), мы не только получаем формаль- 
ные знания о структуре пакета, но и знакомимся с основными функциями протокола ІР. 


Поле номера версии занимает 4 бита и идентифицирует версию протокола ІР. Сейчас по- 
всеместно используется версия 4 (1Ру4), хотя все чаще встречается и новая версия (ТРУб). 
Значение длины заголовка [Р-пакета также занимает 4 бита и измеряется в 32-битных 
словах. Обычно заголовок имеет длину в 20 байт (пять 32-битных слов), но при добавле- 
нии некоторой служебной информации это значение может быть увеличено за счет до- 
полнительных байтов в поле параметров. Наибольшая длина заголовка составляет 60 байт. 


Поле типа сервиса (Туре оѓ Ѕегуісе, То$) имеет и другое, более современное название — 
байт дифференцированного обслуживания, или О$-байт. Этим двум названиям соответ- 
ствуют два варианта интерпретации этого поля. В обоих случаях данное поле служит одной 
цели — хранению признаков, отражающих требования к качеству обслуживания пакета. 
В прежнем варианте первые три бита содержат значение приоритета пакета: от самого 
низкого — 0 до самого высокого — 7. Маршрутизаторы и компьютеры могут принимать 
во внимание приоритет пакета и обрабатывать более важные пакеты в первую очередь. 
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8 бит 16 бит 
Тип сервиса Общая длина 


16 бит 13 бит 
Идентификатор пакета Смещение фрагмента 


8 бит 16 бит 
Контрольная сумма 


Время жизни Протокол верхнего 
уровня 


32 бита 
ІР-адрес источника 


32 бита 
ІР-адрес назначения 


Параметры и выравнивание 


Рис. 14.1. Структура заголовка ІР-пакета 


Следующие три бита поля То$ определяют критерий выбора маршрута. Если для бита О 
(Юеіау — задержка) установлено значение 1, то маршрут должен выбираться для миними- 
зации задержки доставки данного пакета, установленный бит Т (Тћгоцећриє — пропускная 
способность) — для максимизации пропускной способности, а бит К (Кейа Шу — надеж- 
ность) — для максимизации надежности доставки. Оставшиеся два бита имеют нулевое 
значение. 


Стандарты дифференцированного обслуживания, принятые в конце 90-х, дали новое на- 
звание этому полю, переопределив назначение его битов. В 05-байте также используются 
только старшие 6 бит, а два младших бита резервируются (о назначении битов О$-байта 
см. раздел «Поддержка Оо5 в машрутизаторах» главы 17). 


Поле общей длины занимает 2 байта и характеризует общую длину пакета с учетом за- 
головка и поля данных. Максимальная длина пакета ограничена разрядностью поля, 
определяющего эту величину, и составляет 65 535 байт, но в большинстве компьютеров 
и сетей столь большие пакеты не используются. При передаче по сетям различного типа 
длина пакета выбирается с учетом максимальной длины пакета протокола нижнего уров- 
ня, несущего ІР-пакеты. Если это кадры Е{Фегпеф, то выбираются пакеты с максимальной 
длиной 1500 байт, умещающиеся в поле данных кадра Е(ћегпеѓ. В стандартах ТСР/[Р 
предусматривается, что все хосты должны быть готовы принимать пакеты длиной вплоть 
до 576 байт (независимо от того, приходят они целиком или фрагментами). 


Идентификатор пакета занимает 2 байта и используется для распознавания пакетов, 
образовавшихся путем деления на части (фрагментации) исходного пакета. Все части 
(фрагменты) одного пакета должны иметь одинаковое значение этого поля. 


Флаги занимают 3 бита и содержат признаки, связанные с фрагментацией. Установлен- 
ный в 1 бит ОЕ (Оо поё Егартепе — не фрагментировать) запрещает маршрутизатору 
фрагментировать данный пакет, а установленный в 1 бит МЕ (Моге Егаетеп($ — больше 
фрагментов) говорит о том, что данный пакет является промежуточным (не последним) 
фрагментом. Оставшийся бит зарезервирован. 


Поле смещения фрагмента занимает 13 бит и задает смещение в байтах поля данных этого 
фрагмента относительно начала поля данных исходного (нефрагментированного) пакета. 
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Используется при сборке/разборке фрагментов пакетов. Смещение должно быть кратно 
8 байтам. 


Поле времени жизни (Тіте То хе, ТТІ.) занимает один байт и используется для задания 
предельного срока, в течение которого пакет может перемещаться по сети. Время жизни 
пакета измеряется в секундах и задается источником. По истечении каждой секунды пре- 
бывания на каждом из маршрутизаторов, через которые проходит пакет во время своего 
«путешествия» по сети, из его текущего времени жизни вычитается единица; единица вы- 
читается и в том случае, если время пребывания — менее секунды. Поскольку современные 
маршрутизаторы редко обрабатывают пакет дольше, чем за одну секунду, то время жизни 
можно интерпретировать как максимальное число транзитных узлов, которые разрешено 
пройти пакету. Если значение поля времени жизни становится нулевым до того, как пакет 
достигает получателя, то пакет уничтожается. Таким образом, время жизни является своего 
рода часовым механизмом самоуничтожения пакета. 


Поле протокола верхнего уровня занимает 1 байт и содержит идентификатор, указы- 
вающий, какому протоколу верхнего уровня принадлежит информация, размещенная 
в поле данных пакета. Значения идентификаторов для разных протоколов приводятся 
в документе КЕС 1700, доступном по адресу НИр://ммммлапа.ога. Например, 6 означает, что 
в пакете находится сообщение протокола ТСР, 17 — протокола ОРЮР 1 — протокола {СМР 


Контрольная сумма заголовка занимает 2 байта (16 бит) и рассчитывается только по за- 
головку. Поскольку некоторые поля заголовка меняют свое значение в процессе передачи 
пакета по сети (например, поле времени жизни), контрольная сумма проверяется и повтор- 
но рассчитывается на каждом маршрутизаторе и конечном узле как дополнение к сумме 
всех 16-битных слов заголовка. При вычислении контрольной суммы значение самого поля 
контрольной суммы устанавливается в ноль. Если контрольная сумма неверна, то пакет 
отбрасывается, как только обнаруживается ошибка. 


Поля ІР-адресов источника и приемника имеют одинаковую длину — 32 бита. 


Поле параметров является необязательным и используется обычно только при отладке 
сети. Это поле состоит из нескольких подполей одного из восьми предопределенных ти- 
пов. В этих подполях можно указывать точный маршрут, по которому маршрутизаторы 
должны направлять данный пакет (то есть выполнять маршрутизацию от источника), 
регистрировать проходимые пакетом маршрутизаторы или помещать данные системы 
безопасности и временные отметки. Так как число подполей в поле параметров может быть 
произвольным, то в конце заголовка должно быть добавлено несколько нулевых байтов 
для выравнивания заголовка пакета по 32-битной границе. 


Далее приведена распечатка значений полей заголовка одного из реальных [Р-пакетов, 
захваченных в сети Е{Вегпе{ средствами анализатора протоколов сетевого монито- 
ра (Мебмогк Мопіѓог, ММ) компании Мгсгозой. В данной распечатке ММ в скобках 
дает шестнадцатеричные значения полей, кроме того, программа иногда представляет 
числовые коды полей в виде, более удобном для чтения. Например, дружественный 
программный интерфейс ММ интерпретирует код 6 в поле протокола верхнего уровня, 
помещая туда название соответствующего протокола — ТСР (см. строку, выделенную 
полужирным шрифтом). 


ІР: Мегѕіоп = 4 (0х4) 
ІР: Неа4ег Іепеһ = 20 (90х14) 
ІР: Ѕегуісе Туре = ё (9х9) 
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ІР: Ргеседепсе = Коц{*1пте 

ІР: ...0.... = М№огта1 Ое]ау 

Рес НЕЯ М№Мгта1 ТИгочЕПри* 

ТВ а ө.. №огта] Ке1іабі1іїу 

ІР: Тофа1 іепеЕһ = 54 (6х36) 

ІР: ІаепёіҒісаїіоп = 31746 (0х7С02) 

ІР: Е]ар$ Зиттагу = 2 (0х2) 

ЕР: оа Ө = 1аѕ1 Ғгартепі іп дафаргат 
ІР 1. = Саппоф Ғгартепї Яааргат 
ІР: ҒгартепЕ ОҒҒѕе = Ө (9х0) Бу*е$ 

ІР: Тіме фо {іме = 128 (90х80) 

ІР: Ргоїосо1 = ТСР – Тгапѕтіѕѕіоп Сопёго1 
ІР: Сһескѕит = ӨхЕВ86 

ІР: Ѕоиџгсе Аййгеѕ5ѕ = 194.85.135. 75 

ІР: Юреѕїіпаїіоп Аайгеѕ5 = 194.85.135 .66 
ІР: Вафа: Митбег оф дафа Буфе$ гетаіпіпр = 34 (0х0022) 


Схема ІР-маршрутизации 


Рассмотрим механизм ІР-маршрутизации на примере составной сети, представленной на 
рис. 14.2. В этой сети 20 маршрутизаторов (изображенных в виде пронумерованных ква- 
дрантных блоков) объединяют 18 сетей в общую сеть; №1, №2, ..., М18 — это номера сетей. 
На каждом маршрутизаторе и конечных узлах А и В функционируют протоколы ІР. 


К нескольким интерфейсам (портам) маршрутизаторов присоединяются сети. Каждый 
интерфейс маршрутизатора можно рассматривать как отдельный узел сети: он имеет 
сетевой адрес и локальный адрес в той подсети, которая к нему подключена. Например, 
маршрутизатор под номером 1 имеет три интерфейса, к которым подключены сети М1, 
№2, №3. На рисунке сетевые адреса этих портов обозначены ІР, ІР} и ІР). Интерфейс 
ІР, является узлом сети М1 и, следовательно, в поле номера сети порта ІР содержится 
номер №1. Аналогично интерфейс ІР; — это узел в сети №2, а порт ІР}; — узел в сети №З. 
Таким образом, маршрутизатор можно рассматривать как совокупность нескольких узлов, 
каждый из которых входит в свою сеть. Как единое устройство маршрутизатор не имеет 
выделенного адреса (ни сетевого, ни локального). 


ПРИМЕЧАНИЕ 


При наличии у маршрутизатора блока управления (например, по протоколу 5ММР) этот блок име- 
ет собственные локальный и сетевой адреса, по которым к нему обращается центральная станция 
управления. Эти адреса выбираются из того же пула, что и адреса физических интерфейсов марш- 
рутизатора. В технической документации такого рода адреса называются адресами обратной петли 
(ІооорБаскК аййгеѕѕ) или адресами виртуальных интерфейсов (уігіџа] іпќегѓасе аййгеѕѕ). В отличие от 
адресов 127.х.х.х, зарезервированных для передачи данных между программными компонентами, 
находящимися в пределах одного компьютера, адреса виртуальных интерфейсов предполагают об- 
ращение к ним извне. 


В сложных составных сетях почти всегда существуют несколько альтернативных марш- 
рутов для передачи пакетов между двумя конечными узлами. Так, пакет, отправленный из 
узла А в узел В, может пройти через маршрутизаторы 17, 12, 5, 4 и 1 или маршрутизато- 
ры 17, 13, 7, би 3. Нетрудно найти еще несколько маршрутов между узлами Аи В. 
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Таблица маршрутизации узла В 


7 


ледующий 


Таблица маршрутизации 
маршрутизатора 4 


Число 
хопов 


Входной 
интерфейс 


С 
маршрутизатор 


Следующий 
маршрутизатор 
Входной 
интерфейс 


1Рь  МРл Ра 
По умолчанию | 1Рь1 | |Р42 


№9 в 
Узел А 
Рис. 14.2. Принципы маршрутизации в составной сети 


Задачу выбора маршрута из нескольких возможных решают маршрутизаторы, а также 
конечные узлы. Маршрут выбирается на основании имеющейся у этих устройств инфор- 
мации о текущей конфигурации сети, а также на основании критерия выбора маршрута. 
В качестве критерия часто выступает задержка прохождения маршрута отдельным па- 
кетом, средняя пропускная способность маршрута для последовательности пакетов или 
наиболее простой критерий, учитывающий только количество пройденных на маршруте 
промежуточных маршрутизаторов (ретрансляционных участков, или хопов). Полученная 
в результате анализа информация о маршрутах дальнейшего следования пакетов помеща- 
ется в таблицу маршрутизации. 
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Упрощенная таблица маршрутизации 


Используя условные обозначения для сетевых адресов маршрутизаторов и номеров сетей, 
показанные на рис. 14.2, посмотрим, как могла бы выглядеть таблица маршрутизации, на- 
пример, в маршрутизаторе 4 (табл. 14.1). 


Таблица 14.1. Таблица маршрутизации маршрутизатора 4 


Адрес назначения Сетевой адрес Сетевой адрес 
следующего выходного порта 
маршрутизатора 


О И ГИ ОИ 
О О ООО ТТИ 
О СО нр 
НА ЕО ООО 


Первый столбец таблицы содержит адреса назначения пакетов. 


Расстояние до сети 
назначения 


В каждой строке таблицы следом за адресом назначения указывается сетевой адрес следу- 
ющего маршрутизатора (точнее, сетевой адрес интерфейса следующего маршрутизатора), 
на который надо направить пакет, чтобы тот передвигался по направлению к заданному 
адресу по рациональному маршруту. 


Перед тем как передать пакет следующему маршрутизатору, текущий маршрутизатор 
должен определить, на какой из нескольких собственных портов (ІР. или [Р42) он должен 
поместить данный пакет. Для этого служит третий столбец таблицы маршрутизации, со- 
держащий сетевые адреса выходных интерфейсов. 


Некоторые реализации сетевых протоколов допускают наличие в таблице маршрутизации 
сразу нескольких строк, соответствующих одному и тому же адресу назначения. В этом 
случае при выборе маршрута принимается во внимание столбец, представляющий рас- 
стояние до сети назначения. При этом расстояние измеряется в любой метрике, исполь- 
зуемой в соответствии с заданным в сетевом пакете критерием. В табл. 14.1 расстояние 
между сетями измеряется хопами. Расстояние для сетей, непосредственно подключенных 
к портам маршрутизатора, здесь принимается равным 0, однако в некоторых реализациях 
отсчет расстояний начинается с 1. 


Когда пакет поступает на маршрутизатор, модуль ІР извлекает из его заголовка номер 
сети назначения и последовательно сравнивает его с номерами сетей из каждой строки 
таблицы. Строка с совпавшим номером сети показывает ближайший маршрутизатор, на 
который следует направить пакет. Например, если на какой-либо порт маршрутизатора 4 
поступает пакет, адресованный в сеть №б, то из таблицы маршрутизации следует, что адрес 
следующего маршрутизатора — 1Р>1, то есть очередным этапом движения данного пакета 
будет движение к порту 1 маршрутизатора 2. Чаще всего в качестве адреса назначения 
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в таблице указывается не весь ІР-адрес, а только номер сети назначения. Таким образом, 
для всех пакетов, направляемых в одну и ту же сеть, протокол ІР будет предлагать один 
и тот же маршрут (мы пока не принимаем во внимание возможные изменения состояния 
сети — например, отказы маршрутизаторов или обрывы кабелей). 


Однако в некоторых случаях возникает необходимость для одного из узлов сети определить 
специфический маршрут, отличающийся от маршрута, заданного для всех остальных узлов 
сети. Для этого в таблицу маршрутизации помещают для данного узла отдельную строку, содер- 
жащую его полный |Р-адрес и соответствующую маршрутную информацию. 


Такого рода запись имеется в табл. 14.1 для узла В. Предположим, администратор марш- 
рутизатора 4, руководствуясь соображениями безопасности, решил направить пакеты, 
следующие в узел В (полный адрес ІРһ), через маршрутизатор 2 (интерфейс ІР»), а не 
маршрутизатор 1 (интерфейс ІР), через который передаются пакеты всем остальным 
узлам сети №З. Если в таблице имеются записи о маршрутах как к сети в целом, так и кее 
отдельному узлу, то при поступлении пакета, адресованного данному узлу, маршрутизатор 
отдаст предпочтение специфическому маршруту. 


Поскольку пакет может быть адресован в любую сеть составной сети, может показаться, 
что каждая таблица маршрутизации должна иметь записи обо всех сетях, входящих в со- 
ставную сеть. Однако при таком подходе в случае крупной сети объем таблиц маршрути- 
зации может оказаться очень большим, что повлияет на время ее просмотра, потребует 
много места для хранения и т. п. Поэтому на практике широко известен прием уменьше- 
ния количества записей в таблице маршрутизации, основанный на введении маршрута 
по умолчанию (еѓаџІ гоще), учитывающего особенности топологии сети. Рассмотрим, 
например, маршрутизаторы, находящиеся на периферии составной сети. В их таблицах 
достаточно записать номера только тех сетей, которые непосредственно подсоединены 
к данному маршрутизатору или расположены поблизости на тупиковых маршрутах. Обо 
всех остальных сетях можно сделать в таблице единственную запись, указывающую на 
маршрутизатор, через который пролегает путь ко всем этим сетям. Такой маршрутизатор 
называется маршрутизатором по умолчанию (еќѓації гощег). В нашем примере на марш- 
рутизаторе 4 имеются специфические маршруты только для пакетов, следующих в сети 
№1- №6. Для всех остальных пакетов, адресованных в сети №7-—М№18, маршрутизатор пред- 
лагает продолжить путь через один и тот же порт [Р5! маршрутизатора 5, который в данном 
случае и является маршрутизатором по умолчанию. 


Таблицы маршрутизации конечных узлов 


Задачу маршрутизации решают не только промежуточные узлы (маршрутизаторы), но 
и конечные узлы — компьютеры. Решение этой задачи начинается с того, что протокол [Р 
на конечном узле определяет, направляется ли пакет в другую сеть или адресован какому- 
нибудь узлу данной сети. Если номер сети назначения совпадает с номером данной сети, 
то это означает, что пакет маршрутизировать не требуется. В противном случае маршру- 
тизация нужна. 


Структуры таблиц маршрутизации конечных узлов и транзитных маршрутизаторов ана- 
логичны. Обратимся снова к сети, изображенной на рис. 14.2. Таблица маршрутизации 
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конечного узла В, принадлежащего сети №3, могла бы выглядеть так, как табл. 14.2. Здесь 
[Рв — сетевой адрес интерфейса компьютера В. На основании этой таблицы конечный 
узел В выбирает, на какой из двух имеющихся в локальной сети МЗ маршрутизаторов 
(В! или КЗ) следует посылать тот или иной пакет. 


Таблица 14.2. Таблица маршрутизации конечного узла В 


Номер сети назначения Сетевой адрес следующего | Сетевой адрес Расстояние до сети 
маршрутизатора выходного порта назначения 


ІРз; (КЗ) 
Маршрут по умолчанию ІР, (КЗ) ГР 


Конечные узлы в еще большей степени, чем маршрутизаторы, пользуются приемом марш- 
рутизации по умолчанию. Хотя они также в общем случае имеют в своем распоряжении 
таблицу маршрутизации, ее объем обычно незначителен, что объясняется периферийным 
расположением всех конечных узлов. Конечный узел часто вообще работает без таблицы 
маршрутизации, имея только сведения об адресе маршрутизатора по умолчанию. При на- 
личии одного маршрутизатора в локальной сети этот вариант — единственно возможный 
для всех конечных узлов. Но даже при наличии нескольких маршрутизаторов в локальной 
сети, когда перед конечным узлом стоит проблема их выбора, часто в компьютерах для по- 
вышения производительности прибегают к заданию маршрута по умолчанию. 


Рассмотрим таблицу маршрутизации другого конечного узла составной сети — узла А 
(табл. 14.3). Компактный вид таблицы маршрутизации узла А отражает тот факт, что все 
пакеты, направляемые из узла А, либо не выходят за пределы сети №2, либо непременно 
проходят через порт 1 маршрутизатора 17. Этот маршрутизатор и определен в таблице 
маршрутизации в качестве маршрутизатора по умолчанию. 


Таблица 14.3. Таблица маршрутизации конечного узла А 


Номер сети назначения Сетевой адрес следующего | Сетевой адрес Расстояние до сети 
маршрутизатора выходного порта | назначения 


нь р 


Еще одним отличием работы маршрутизатора и конечного узла является способ построе- 
ния таблицы маршрутизации. Если маршрутизаторы, как правило, автоматически создают 
таблицы маршрутизации, обмениваясь служебной информацией, то для конечных узлов 
таблицы маршрутизации часто создаются вручную администраторами и хранятся в виде 
постоянных файлов на дисках. 
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Просмотр таблиц маршрутизации без масок 


Рассмотрим алгоритм просмотра таблицы маршрутизации протоколом ІР используя данные 
из табл. 14.1 и рис. 14.2. Пусть на один из интерфейсов маршрутизатора поступает пакет. 
Протокол ІР извлекает из пакета ІР-адрес назначения (предположим, адрес назначения ГРь). 


1. Выполняется первая фаза просмотра таблицы — поиск специфического маршрута 
к узлу. [Р-адрес (целиком) последовательно, строка за строкой, сравнивается с содер- 
жимым поля адреса назначения таблицы маршрутизации. Если произошло совпадение 
(как в табл. 14.1), то из соответствующей строки извлекаются адрес следующего марш- 
рутизатора (1Р21) и идентификатор выходного интерфейса (1Р41). На этом просмотр 
таблицы заканчивается. 


2. Предположим теперь, что в таблице нет строки с адресом назначения ІРВ, а значит, 
совпадения не произошло. В этом случае протокол ІР переходит ко второй фазе про- 
смотра — поиску маршрута к сети назначения. Из ІР-адреса выделяется номер сети 
(в нашем примере из адреса ГРВ выделяется номер сети №З), после чего таблица снова 
просматривается на предмет совпадения номера сети в какой-либо строке с номером 
сети из пакета. При совпадении (а в нашем примере оно произошло) из соответству- 
ющей строки таблицы извлекаются адрес следующего маршрутизатора (1Р12) и иден- 
тификатор выходного интерфейса (1Р41). Просмотр таблицы на этом завершается. 


3. Наконец, предположим, что адрес назначения в пакете был таков, что совпадения не 
произошло ни в первой, ни во второй фазах просмотра. В таком случае средствами 
протокола ІР либо выбирается маршрут по умолчанию (и пакет направляется по 
адресу 1Р51), либо, если маршрут по умолчанию отсутствует, пакет отбрасывается!. 
Просмотр таблицы на этом заканчивается. 


ВНИМАНИЕ 


Последовательность фаз в данном алгоритме строго определена, в то время как последовательность 
просмотра или, что одно и то же, порядок расположения строк в таблице, включая запись о маршруте 
по умолчанию, никак не сказывается на результате. 


Примеры таблиц маршрутизации 
разных форматов 


Структура реальных таблиц маршрутизации стека ТСР/ТР в целом соответствует упро- 
щенной структуре рассмотренных ранее таблиц. Отметим, однако, что вид таблицы 
ІР-маршрутизации зависит от конкретной реализации стека ТСР/[Р. Приведем пример 
нескольких вариантов таблицы маршрутизации, с которыми мог бы работать маршрути- 
затор КЇ в сети, представленной на рис. 14.3. 


Начнем с «придуманного», предельно упрощенного варианта таблицы маршрутизации 
(табл. 14.4). Здесь имеются три маршрута к сетям (записи 56.0.0.0, 116.0.0.0 и 129.13.0.0), 
две записи о непосредственно подсоединенных сетях (198.21.17.0 и 213.34.12.0), а также 
запись о маршруте по умолчанию. 


і Стандарты технологии ТСР/ІР не требуют, чтобы в таблице маршрутизации непременно содержа- 
лись маршруты для всех пакетов, которые могут прийти на его интерфейсы, более того, в таблице 
может отсутствовать маршрут по умолчанию. 
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А Таблица 
— маршрутизации 


| ЗРЯ Сеть 56.0.0.0 


Рис. 14.3. Пример маршрутизируемой сети 


Таблица 14.4. Упрощенная таблица маршрутизации маршрутизатора В1 


116.0.0.0 213.34.124 213.34.12.3 
2 | 
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Более сложный вид имеют таблицы, которые генерируются в промышленно выпускаемом 
сетевом оборудовании. Если представить, что в качестве маршрутизатора К1 в данной сети 
работает штатный программный маршрутизатор ОС УЛп4о\, то его таблица маршрути- 
зации могла бы выглядеть как табл. 14.5. 


Таблица 14.5. Таблица программного маршрутизатора ОС Міпаомѕ 


О С О С ЕС 


Если на месте маршрутизатора К1 установить один из популярных аппаратных маршру- 


тизаторов, то его таблица маршрутизации для этой же сети может выглядеть совсем иначе 
(табл. 14.6). 


Таблица 14.6. Таблица маршрутизации аппаратного маршрутизатора 


тИ ГИСИ СИСА 
СИТИ ГТ СООО ЗИ ЕИ 
ЕЕРЕЕ СО СИ РИ 
а ао авн еннен 


И наконец, табл. 14.7 представляет собой таблицу маршрутизации для того же марш- 
рутизатора К1, реализованного в виде программного маршрутизатора одной из версий 


ОС Омх. 
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Таблица 14.7. Таблица маршрутизации маршрутизатора Упх 


Адрес назначения Шлюз Число Загрузка Интерфейс 
ссылок 


[127000 | | 127004 


тараан 
СР ОО КТР ОО ЕГИ ГС 
ОЕ КТР ССЗ СООО ССС СО 


ПРИМЕЧАНИЕ 


Заметим, что поскольку между структурой сети и таблицей маршрутизации нет однозначного соот- 
ветствия, для каждого из приведенных вариантов таблицы можно предложить свои «подварианты», 
отличающиеся выбранным маршрутом к той или иной сети. В данном случае внимание концент- 
рируется на существенных различиях в форме представления маршрутной информации разными 
реализациями маршрутизаторов. 


Несмотря на достаточно заметные внешние различия, в каждой из трех «реальных» таблиц 
присутствуют все ключевые данные из рассмотренной упрощенной таблицы, без которых 
невозможна маршрутизация пакетов. 


К таким данным, во-первых, относятся адреса сети назначения (столбцы «Адрес назна- 
чения» в аппаратном маршрутизаторе и маршрутизаторе ОС Оһіх или столбец «Сетевой 
адрес» в маршрутизаторе ОС \УМпао\5). 


Вторым обязательным полем таблицы маршрутизации является адрес следующего марш- 
рутизатора (столбец «Шлюз» в аппаратном маршрутизаторе и маршрутизаторе ОС Опіх 
или столбец «Адрес шлюза» в маршрутизаторе ОС УМп94о\5). 


Третий ключевой параметр — адрес порта, на который нужно направить пакет, в некото- 
рых таблицах указывается прямо (столбец «Интерфейс» в таблице маршрутизатора ОС 
\УМп4о\з), в некоторых — косвенно. Так, в таблице маршрутизатора ОС Ошх вместо адреса 
порта задается его условное наименование: 1е0 для порта с адресом 198.21.17.5, Іе1 для 
порта с адресом 213.34.12.3 и 100 для внутреннего порта с адресом 127.0.0.1. В аппаратном 
маршрутизаторе поле, обозначающее выходной порт в какой-либо форме, вообще отсут- 
ствует. Это объясняется тем, что адрес выходного порта всегда можно косвенно определить 
по адресу следующего маршрутизатора. Например, определим по табл. 14.6 адрес выход- 
ного порта для сети 56.0.0.0. Из таблицы следует, что следующим маршрутизатором для 
этой сети будет маршрутизатор с адресом 213.34.12.4. Адрес следующего маршрутизатора 
должен принадлежать одной из непосредственно присоединенных к маршрутизатору сетей, 
и в данном случае — это сеть 213.34.12.0. Маршрутизатор имеет порт, присоединенный 
к этой сети, адрес которого (213.34.12.3) мы находим в столбце «Шлюз» второй строки 
таблицы маршрутизации, описывающей непосредственно присоединенную сеть 213.34.12.0. 
Для непосредственно присоединенных сетей адресом следующего маршрутизатора всегда 
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является адрес собственного порта маршрутизатора. Таким образом, для сети 56.0.0 адресом 
выходного порта является 213.34.12.3. 


Стандартным решением сегодня является использование поля маски в каждой записи 
таблицы, как это сделано в таблицах маршрутизатора ОС УМ п4о\$ и аппаратного марш- 
рутизатора (столбцы «Маска»). Механизм обработки масок при принятии решения 
маршрутизаторами рассматривается далее. Отсутствие поля маски говорит о том, что либо 
маршрутизатор рассчитан на работу только с тремя стандартными классами адресов, либо 
для всех записей используется одна и та же маска, что снижает гибкость маршрутизации. 


Поскольку в таблице маршрутизации маршрутизатора ОС Чшх каждая сеть назначения 
упомянута только один раз, а значит, возможность выбора маршрута отсутствует, то поле 
метрики является необязательным параметром. В остальных двух таблицах поле метрики 
используется только для указания на то, что сеть подключена непосредственно. Метрика 0 
для аппаратного маршрутизатора или 1 для маршрутизатора ОС УЛп4о\$ говорит маршру- 
тизатору, что эта сеть непосредственно подключена к его порту, а другое значение метрики 
соответствует удаленной сети. Выбор метрики для непосредственно подключенной сети 
(1 или 0) является произвольным — главное, чтобы метрика удаленной сети отсчитывалась 
с учетом этого выбранного начального значения. В маршрутизаторе Отих используется 
поле признаков, где флаг С (Саѓемау — шлюз) отмечает удаленную сеть, а его отсутствие — 
непосредственно подключенную. 


Признак непосредственно подключенной сети говорит маршрутизатору, что пакет уже до- 
стиг своей сети, поэтому протокол ІР активизирует АЯР-запрос относительно ІР-адреса узла 
назначения, а не следующего маршрутизатора. 


Однако существуют ситуации, когда маршрутизатор должен обязательно хранить значе- 
ние метрики для записи о каждой удаленной сети. Эти ситуации возникают, когда записи 
в таблице маршрутизации являются результатом работы некоторых протоколов маршру- 
тизации, например протокола КІР. В таких протоколах новая информация о какой-либо 
удаленной сети сравнивается с информацией, содержащейся в таблице в данный момент 
и, если значение новой метрики лучше текущей, то новая запись вытесняет имеющуюся. 
В таблице маршрутизатора ОС Опіх поле метрики отсутствует, и это значит, что он не 
использует протокол КІР. 


Флаги записей присутствуют только в таблице маршрутизатора ОС Отіх. 


О 0 – маршрут активен и работоспособен. Аналогичный смысл имеет поле статуса в ап- 
паратном маршрутизаторе. 


О Н - признак специфического маршрута к определенному хосту. 


О С — маршрут пакета проходит через промежуточный маршрутизатор (шлюз). Отсут- 
ствие этого флага отмечает непосредственно подключенную сеть. 


О р — маршрут получен из перенаправленного сообщения протокола ІСМР Этот признак 
может присутствовать только в таблице маршрутизации конечного узла. Признак озна- 
чает, что конечный узел при какой-то предыдущей передаче пакета выбрал не самый 
рациональный следующий маршрутизатор на пути к данной сети, а этот маршрутизатор 
с помощью протокола ІСМР сообщил конечному узлу, что все последующие пакеты 
к данной сети нужно отправлять через другой маршрутизатор. 
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В таблице маршрутизатора ОС Опіх используются еще два поля, имеющих справочное 
значение. Поле числа ссылок показывает, сколько раз на данный маршрут ссылались при 
продвижении пакетов. Поле загрузки отражает количество байтов, переданных по данному 
маршруту. 

В записях таблиц аппаратного маршрутизатора также имеются два справочных поля. Поле 
времени жизни записи (ТТІ) в данном случае никак не связано со временем жизни пакета. 
Здесь оно показывает время, в течение которого значение данной записи еще действитель- 
но. Поле источника говорит об источнике появления записи в таблице маршрутизации. 


Источники и типы записей в таблице 
маршрутизации 


Практически для всех маршрутизаторов существуют три основных источника записей 
в таблице. 


Во-первых, это программное обеспечение стека ТСР/ІР, которое при инициализации 
маршрутизатора автоматически заносит в таблицу несколько записей, в результате чего 
создается так называемая минимальная таблица маршрутизации. Программное обеспече- 
ние формирует записи о непосредственно подключенных сетях и маршрутах по умолчанию, 
информация о которых появляется в стеке при ручном конфигурировании интерфейсов 
компьютера или маршрутизатора. К таким записям в приведенных примерах относятся 
записи о сетях 213.34.12.0 и 198.21.17.0, запись о маршруте по умолчанию в маршрутиза- 
торе ОС Опіх и запись 0.0.0.0 в маршрутизаторе ОС УМп4до\5. Кроме того, программное 
обеспечение автоматически заносит в таблицу маршрутизации записи об адресах особого 
назначения. В приведенных примерах таблица маршрутизатора ОС \УЛп4о\$ содержит 
наиболее полный набор записей такого рода. Несколько записей в этой таблице связано 
с особым адресом 127.0.0.0. Записи с адресом 224.0.0.0 требуются для обработки групповых 
адресов. Кроме того, в таблицу могут быть занесены адреса, предназначенные для обра- 
ботки широковещательных рассылок (например, записи 8 и 11 содержат адрес отправки 
широковещательного сообщения в соответствующих подсетях, а последняя запись в табли- 
це — адрес ограниченной широковещательной рассылки). Заметим, в некоторых таблицах 
записи об особых адресах вообще отсутствуют. 


Во-вторых, источником записей в таблице является администратор, непосредственно 
формирующий записи с помощью некоторой системной утилиты, например программы 
гоще, доступной в ОС Опіх и ОС Мпожѕ. В аппаратных маршрутизаторах также всегда 
имеется команда для ручного задания записей таблицы маршрутизации. Заданные вручную 
записи всегда являются статическими, то есть не имеют срока жизни. Эти записи могут 
быть как постоянными, то есть сохраняющимися при перезагрузке маршрутизатора, так 
и временными, хранящимися в таблице только до выключения устройства. Часто админи- 
стратор вручную заносит запись о маршруте по умолчанию. Таким же образом в таблицу 
маршрутизации может быть внесена и запись о специфическом для узла маршруте. 


И наконец, третьим источником записей могут быть протоколы маршрутизации, такие как 
КІР или ОЅРЕ Эти записи всегда являются динамическими, то есть имеют ограниченный 
срок жизни. 


Программные маршрутизаторы УМп4о\$ и Опіх не показывают источник появления той 
или иной записи в таблице, а аппаратный маршрутизатор использует для этой цели поле 
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источника. В приведенном в табл. 14.6 примере первые две записи созданы программным 
обеспечением стека на основании данных о конфигурации портов маршрутизатора — это 
показывает признак «Подключена». Следующие две записи обозначены как статические — 
это означает, что их ввел вручную администратор. Последняя запись — следствие работы 
протокола КІР, поэтому в ее поле «ТТІ» имеется значение 160. 


Пример ІР-маршрутизации без масок 


Рассмотрим процесс продвижения пакета в составной сети на примере ІР-сети, показанной 
на рис. 14.4, исходя из того, что все узлы сети, рассматриваемой в примере, имеют адреса, 
основанные на классах. Особое внимание уделим взаимодействию протокола [Р с прото- 
колами разрешения адресов АКР и ОМ. 


ЕТР-клиент 

ОМ$-сервер по умолчанию ІР 200.5.16.6 ОМ$-клиент 
Маршрутизатор по умолчанию ІР 129.13.5.1 
сИ.тду.сот 

|Р 129.13.23.17 
МАС 008048А17652 


Подсеть 129.13.0.0 


|Р 129.13.5.1 
МАС 008048ЕВ7Е60 


ЕТР-сервер 
|Р 198.21.17.6 


МАС 00Е0Е77Е1920 Јпіх.тоди.сот 


ІР 56.01.13.14 


Подсеть 198.21.17.0 Подсеть 56.0.0.0 МАС 484С0054699 


ІР 198.21.17.7 ІР 56.01.105.16 
МАС ООЕОҒ77Е5А02 МАС 00ЕР720А912 
9 ОМ$-сервер а 
В: вә & Д 


ІР 200.5.16.12 
МАС 0ОЕОР71АВ7ЕО 


ІР 200.5.16.6 
МАС 00Е0Е7751231 


Подсеть 200.5.16.0 


|Р 200.5.16.3 
МАС 00ЕОЕ73425С0 


Рис. 14.4. Пример |Р-маршрутизации 


Итак, пусть пользователю компьютера сії.тди.сот, находящегося в сети 129.13.0.0, необхо- 
димо установить связь с ЕТР-сервером. Пользователю известно символьное имя сервера 
ипіх.тоди.сот, поэтому он набирает на клавиатуре команду обращения к ЕТР-серверу по 
имени: 


> +{р ип1х.три. сот 
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Выполнение этой команды инициирует три последовательные операции: 


1. О№5$-клиент (работающий на компьютере сіє. теи.сот) передает О№$-серверу сообще- 
ние, в котором содержится запрос об ІР-адресе сервера ипіх.три.сот, с которым он 
хочет связаться по протоколу ЕТР. 


2. О№5-сервер, выполнив поиск, передает ответ О№$-клиенту о найденном [Р-адресе 
сервера итх.три.сот. 


3. ЕТР-клиент (работающий на том же компьютере сії. теи.сот), используя найденный 
1Р-адрес сервера ипіх.теи.сот, передает ему сообщение. 


Давайте последовательно, по шагам, рассмотрим, как при решении этих задач взаимо- 
действуют между собой протоколы ОМ$, ІР АВР и Ефегпе и что происходит при этом 
с кадрами и пакетами. 


Формирование [Р-пакета с инкапсулированным в него ОМ№5-запросом. Программный модуль 
ЕТР-клиента, получив команду > йр ипіх.тди.сот, делает запрос к работающему на этом 
же компьютере ОМ№-клиенту, который формирует запрос к О№$-серверу: «Какой [Р-адрес 
соответствует имени ипіх.тди.сот?» Запрос упаковывается в ЧОР-дейтаграмму, затем 
в [Р-пакет. В заголовке пакета в качестве адреса назначения указывается ІР-адрес 200.5.16.6 
О№$-сервера, который входит в число конфигурационных параметров хоста. 


Передача кадра ЕйетеЕ с ІР-пакетом маршрутизатору ЕЗ. Для передачи этого [Р-пакета 
необходимо его упаковать в кадр Е\егпе*, указав в заголовке МАС-адрес получателя. 
Технология ЕТегпе{ способна доставлять кадры только тем адресатам, которые нахо- 
дятся в пределах одной подсети с отправителем. Если же адресат расположен вне этой 
подсети, то кадр надо передать ближайшему маршрутизатору, чтобы тот взял на себя 
заботу о дальнейшем перемещении пакета. Модуль ІР, сравнив номера сетей в адресах 
отправителя и получателя, то есть 129.13.23.17 и 200.5.16.6, выясняет, что пакет направ- 
ляется в другую сеть, следовательно, его необходимо передать маршрутизатору, в данном 
случае маршрутизатору по умолчанию. [Р-адрес маршрутизатора по умолчанию также 
известен клиентскому узлу, поскольку он входит в число конфигурационных параметров. 
Однако в кадре Ећегпеѓ необходимо указать не ІР-адрес, а МАС-адрес получателя. Эта 
проблема решается с помощью протокола АКР, который для ответа на вопрос «Какой 
МАС-адрес соответствует [Р-адресу 129.13.5.1?» делает поиск в своей АКР-таблице. 
Поскольку обращения к маршрутизатору происходят часто, будем считать, что нужный 
МАС-адрес обнаруживается в таблице и имеет значение 008048ЕВ7ЕбО. После получения 
этой информации клиентский компьютер сй.тдачц.сот отправляет маршрутизатору КЗ 
кадр Еќћегпе с О№$-запросом (рис. 14.5). 


Определение ІР-адреса и МАС-адреса следующего маршрутизатора Е2. Кадр принимает- 
ся интерфейсом 129.13.5.1 маршрутизатора ЕЗ. Протокол Ефегпеф, работающий на этом 
интерфейсе, извлекает из этого кадра [Р-пакет и передает его протоколу ІР. Протокол ІР 
находит в заголовке пакета адрес назначения 200.5.16.6 и просматривает записи своей 
таблицы маршрутизации. Пусть маршрутизатор КЗ не обнаруживает специфического 
маршрута для адреса назначения 200.5.16.6, но находит в своей таблице следующую запись: 


200.5.16.0 198.21.17.7 198.21.17.6 


Эта запись говорит о том, что пакеты для сети 200.5.16.0 маршрутизатор КЗ должен пере- 
давать на свой выходной интерфейс 198.21.17.6, с которого они поступят на интерфейс 
следующего маршрутизатора К.2, имеющего [Р-адрес 198.21.17.7. Далее протокол АКР 
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Интерфейс Интерфейс 
маршрутизатора компьютера 
КЗ ҒТР-клиента 


ОМ№$-клиента 


сії.тади.сот 
ІР - 129.13.5.1 ІР - 129.13.23.17 
МАС - 008048ЕВ7ЕбО МАС - 008048А17652 


МАС клиента ІР клиента 
008048А17652 129.13.23.17 


МАС мар-ра КЗ | ІР ОМ$-сервера 
008048ЕВ7Е60 200.5.16.6 


| ОМ№$5-запрос: 
ипіх.тади.сот? 


Рис. 14.5. Кадр Еіћегпеї с инкапсулированным ІР-пакетом, 
отправленный с клиентского компьютера 


определяет МАС-адрес маршрутизатора К2. Пусть на этот раз в АКР-таблице нет записи 
об адресе маршрутизатора К2. Тогда в сеть отправляется широковещательный АКР-запрос, 
поступающий на все интерфейсы сети 198.21.17.0. Ответ приходит только от интерфейса 
маршрутизатора К2: «Я имею [Р-адрес 198.21.17.7, и мой МАС-адрес 00Е0Е77Е5А02». 
Зная МАС-адрес маршрутизатора К2 (00Е0Е77Е5А02), маршрутизатор КЗ передает ему 
ІР-пакет с О№5-запросом (рис. 14.6). 


Интерфейс Интерфейс 
маршрутизатора маршрутизатора 
К2 КЗ 
ІР - 198.21.17.7 ІР - 198.21.17.6 
МАС - 00ЕОЕР77Р5А02 МАС - 00Е0Е77Е1920 


а. О№5-запрос: 
я ипіх.тади.сот? | 


Рис. 14.6. Кадр Еіћегпеї с 0М3№5-запросом, отправленный с маршрутизатора ВЗ 
маршрутизатору В2 


МАС маршрутизатора ІР клиента 
КЗ - 00Е0Е77Е1920 129.13.23.17 

МАС маршрутизатора | ІР О№-сервера 
К2 - ООЕОҒТ7ТР5А02 200.5.16.6 


Маршрутизатор Е2 доставляет пакет ОМ№5-серверу. Для этого модуль ІР на маршру- 
тизаторе К2 извлекает из пакета ІР-адрес назначения и, просматривая свою таблицу 
маршрутизации, обнаруживает, что сеть назначения 200.5.16.0 является непосредственно 
присоединенной к его второму интерфейсу. Следовательно, пакет не нужно маршрути- 
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зировать, однако требуется определить МАС-адрес узла назначения. Протокол АКР «по 
просьбе» протокола ІР находит (либо в АКР-таблице, либо широковещательно) МАС-адрес 


00Е0Е7751231 035-сервера. Маршрутизатор К2 формирует кадр Есћегпеѓ с О№$-запросом 
(рис. 14.7) и передает его в сеть. 


Интерфейс ОМ$- Интерфейс 
сервера маршрутизатора 
К2 
ІР - 200.5.16.6 ІР - 200.5.16.3 
МАС - 00ЕОЕ7751231 МАС - 00ЕОЕ734Е5СО 


МАС маршрутизатора ІР клиента 


К2 - ООЕОҒ7ЗАҒ5СО | 129.13.23.17 | &| ОМ$-запрос: 
МАС ОМ$-сервера ІР О№$-сервера | > ипіх.тди.сот? 


00Е0Р7751231 200.5.16.6 


Рис. 14.7. Кадр Еіћегпеї с 0№3№5-запросом, отправленный с маршрутизатора В2 


Сетевой адаптер 0М№5-сервера захватывает кадр Еїћегпеѓ, обнаруживает совпадение 
МАС -адреса назначения, содержащегося в заголовке, со своим собственным адресом и на- 
правляет его вышележащим протоколам. 0№-запрос передается программному модулю 
ОМ№Ѕ-сервера. 0№$-сервер просматривает свои таблицы, возможно, обращается к другим 


О№5-серверам и в результате формирует ответ: «Символьному имени ипіх.тди.сот соот- 
ветствует ІР-адрес 56.01.13.14». 


Процесс доставки О№5-ответа (рис. 14.8) клиенту сії. тди.сот аналогичен процессу пере- 
дачи О№5-запроса, который мы только что так подробно описали. ЕТР-клиент, получив 
[Р-адрес ЕТР-сервера, посылает ему свое сообщение. Для читателя будет весьма полезно 


Интерфейс 

Интерфейс компьютера 
маршрутизатора ЕТР-клиента 
КЗ ОМ$-клиента 
сії. таи.сот 

ІР - 129.13.5.1 |Р - 129.13.23.17 
МАС - 008048ЕВ7Е60 МАС -008048А17652 


ІР ОМ№$-сервера | МАС маршрутизатора 
ОМ№$-ответ: 2005166 КЗ - 008048ЕВ7Еб О 
ипіх.тди.сот - —————————————— 


56.01.13.14 ` 1Р клиента _ 
129.13.23.17 


МАС клиента 
008048А17652 


Рис. 14.8. Кадр Ећегпеї с ОМ$-ответом, отправленный с маршрутизатора НЗ компьютеру-клиенту 
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воспроизвести процесс перемещения этого сообщения по сети, обращая особое внимание 
на значения адресных полей Кадров и пакетов. 


ПРИМЕЧАНИЕ 


Заметим, что во время всего путешествия пакета по составной сети от клиентского компьютера до 
О№ -сервера [Р-адреса получателя и отправителя в полях заголовка [Р-пакета не изменяются. Зато 
МАС-адреса отправителя и получателя изменяются на каждом отрезке пути. 


Маршрутизация с использованием масок 


Алгоритм маршрутизации усложняется, когда в систему адресации узлов вносятся до- 
полнительные элементы — маски. Часто администраторы сетей испытывают неудобства, 
поскольку количества централизованно выделенных им номеров сетей недостаточно для 
того, чтобы структурировать сеть надлежащим образом, например, развести все слабо 
взаимодействующие компьютеры по разным сетям. В такой ситуации возможны два пути. 
Первый — получение от какого-либо центрального органа дополнительных номеров сетей. 
Второй, более распространенный, — использование технологии масок, позволяющей раз- 
делить одну имеющуюся сеть на несколько. 


Структуризация сети масками одинаковой длины 


Со сложностями использования масок администратор впервые сталкивается не тогда, ког- 
да начинает конфигурировать сетевые интерфейсы и создавать таблицы маршрутизации, 
а гораздо раньше — на этапе планирования сети. Планирование включает определение 
количества сетей, из которых будет состоять корпоративная сеть, оценку требуемого 
количества адресов для каждой сети, получение пула адресов от поставщика услуг, рас- 
пределение адресного пространства между сетями. Последняя задача часто оказывается 
нетривиальной, особенно когда решается в условиях дефицита адресов. 


Допустим, администратор получил в свое распоряжение сеть класса В: 129.44.0.0. Он может 
организовать сеть с большим числом узлов, номера которых доступны ему из диапазона 
0.0.0.1-0.0.255.254. Всего в его распоряжении имеется (216 – 2) адреса (вычитание двойки 
связано с тем, что, как уже отмечалось, адреса из одних нулей и одних единиц имеют специ- 
альное назначение и не годятся для адресации узлов). Однако ему не нужна одна большая 
неструктурированная сеть. Производственная необходимость диктует администратору 
другое решение, в соответствии с которым сеть должна быть разделена на три отдельных 
подсети, при этом трафик в каждой подсети должен быть надежно локализован. Это по- 
зволит легче диагностировать сеть и проводить в каждой из подсетей особую политику 
безопасности. Заметим, что разделение большой сети с помощью масок имеет еще одно 
преимущество — оно позволяет скрыть внутреннюю структуру сети предприятия от внеш- 
него наблюдения и тем самым повысить ее безопасность. 


На рис. 14.9 показано разделение всего полученного администратором адресного диапазона 
на четыре равные части — каждая по 214 адресов. При этом число разрядов, доступное для 
нумерации узлов, именьшилось на два бита, а префикс (номер) каждой из четырех сетей стал 
длиннее на два бита. Следовательно, каждый из четырех диапазонов можно записать в виде 
|Р-адреса с маской, состоящей из 18 единиц, или в десятичной нотации — 255.255.192.0. 
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129.44.0.0/18 (10000001 00101100 00000000 00000000) 
129.44.64.0/18 (10000001 00101100 01000000 00000000) 
129.44.128.0/18 (10000001 00101100 10000000 00000000) 
129.44.192.0/18 (10000001 00101100 11000000 00000000) 


Поле номера сети 
класса В 
(неизменяемое поле) 


Поле адресов 
узлов (адресное 
пространство) 


о подсети 


129 44 


2 
10000001 | 00101100 000000 | 00000000 Сеть 1294400 
а Маска 
К 255.255.192.0 
; Диапазон номеров 
узлов от 0 до 214 
10000001 | 00101100 111111 
10000001 | 00101100 |011] 000000 | 00000000 Сеть 129.44.64.0 
Маска 
255.255.192.0 
Диапазон номеров 
узлов от 0 до 214 
00101100 |011] 111111 
10000001 | 00101100 |1 000000 | 00000000 Сеть 129.44 1280 
Маска 
255.255.192.0 
Диапазон номеров 
узлов от 0 до 2! 
10000001 | 00101100 |1 111111 11111111 


10000001 | 00101100 |111] 000000 | 00000000 

10000001 | 00101100 000000 | 00000001 | | Сеть 129.44.192.0 
111 
Е: 1 


'Адресное пространство 216 


10000001 | 00101100 000000 | 00000010 Маска 
ЕАН 255.255.192.0 


полне 
Неиспользованные адреса (2'* - 4) Диапазон номеров 
отага 27 0 И ОНИ узлов от 0 до 21“ 
10000001 | 00101100 [1111 111111 | 11111111 


Рис. 14.9. Разделение адресного пространства 129.44.0.0 сети класса В на четыре равные части 


Из записей видно, что администратор получает возможность использовать для нумерации 
подсетей два дополнительных бита (полужирный шрифт), что позволяет выделить из 
одной централизованно выделенной сети четыре, в данном примере — сети 129.44.0.0/18, 
129.44.64.0/18, 129.44.128.0/18, 129.44.192.0/18 (рис.14.10). 


ПРИМЕЧАНИЕ 


Некоторые программные и аппаратные маршрутизаторы, следуя устаревшим рекомендациям 
ВЕС 950, не поддерживают номера подсетей, которые состоят либо только из одних нулей, либо 
только из одних единиц. Например, для такого типа оборудования номер сети 129.44.0.0 с маской 
255.255.192.0, использованной в нашем примере, окажется недопустимым, поскольку в этом случае 
разряды в поле номера подсети имеют значение 00. По аналогичным соображениям недопустимым 
может оказаться номер сети 129.44.192.0 с тем же значением маски. Здесь номер подсети состоит 
только из единиц. Однако современные маршрутизаторы, поддерживающие рекомендации КЕС 1878, 
свободны от этих ограничений. 
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Весь трафик во внутреннюю сеть 129.44.0.0, направляемый из внешней сети, поступает 
через маршрутизатор К1. В целях структуризации информационных потоков во внутрен- 
ней сети установлен дополнительный маршрутизатор К2. Каждая из вновь образованных 
сетей подключена к соответственно сконфигурированным портам внутреннего маршру- 
тизатора К2. 


ПРИМЕЧАНИЕ — ӰСӰҢҢҢ—————_— 


В одной из этих сетей (129.44.192.0/18), выделенной для организации соединения между внешним 
и внутренним маршрутизаторами, для адресации узлов задействованы всего два адреса — 129.44.192.1 
(порт маршрутизатора К2) и 129.44.192.2 (порт маршрутизатора К1). Огромное число узлов в этой 
подсети не используется. Такой пример выбран исключительно в учебных целях, чтобы показать 
неэффективность сетей равного размера. 


Подсеть 129.44.0.0 
Маска 255.255.192.0 
21“ узлов 


Маска 255.255.192.0 


Подсеть 129.44.192.0 129.44.0.1 
В1 214 узлов В2 \ 


Сеть провайдера Подсеть 129.44.64.0 


129.44.64.7 Маска 255.255.192.0 
2' узлов 


129.44.192.2 129.44.192.1 


129.44.128.5 


КЗ рр 


о 


Подсеть 129.44.128.0 РА 


Маска 255.255.192.0 
2'* узлов 
129.44.128.15 


Рис. 14.10. Маршрутизация с использованием масок одинаковой длины 


Извне, со стороны маршрутизатора КЇ, сеть по-прежнему выглядит как единая сеть клас- 
са В. Но поступающий в сеть общий трафик разделяется локальным маршрутизатором 
К2 между четырьмя сетями. В условиях, когда механизм классов не действует, маршрути- 
затор должен иметь другое средство, которое позволило бы ему определять, какая часть 
32-битного числа, помещенного в поле адреса назначения, является номером сети. Именно 


этой цели служит дополнительное поле маски, включенное в таблицу маршрутизации 
(табл. 14.8). 


Первые четыре записи в таблице относятся к внутренним подсетям, непосредственно под- 
ключенным к портам маршрутизатора К2. Запись 0.0.0.0 с маской 0.0.0.0 соответствует 
маршруту по умолчанию. Последняя запись определяет специфический маршрут к узлу 
129.44.128.15. В тех строках таблицы, в которых в качестве адреса назначения указан пол- 
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ный ІР-адрес узла, маска имеет значение 255.255.255.255. В отличие от всех других узлов 
сети 129.44.128.0, к которым пакеты поступают с интерфейса 129.44.128.5 маршрутизато- 
ра К2, к данному узлу они должны приходить через маршрутизатор КЗ. 


Таблица 14.8. Таблица маршрутизатора В2 в сети с масками одинаковой длины 


Адрес назначения Маска Адрес следующего Адрес порта Расстояние 
и 


оо [оо рем ТТИ ЕИ 
СИГИСЕТИН 


Просмотр таблиц маршрутизации с учетом масок 


Алгоритм просмотра таблиц маршрутизации с учетом масок, во многом подобный алго- 
ритму просмотра таблиц без масок, имеет и ряд существенных отличий. Поиск следую- 
щего маршрутизатора для вновь поступившего ІР-пакета протокол начинает с того, что 
извлекает из пакета адрес назначения (обозначим его ІРр). Затем протокол ІР приступает 
к процедуре просмотра таблицы маршрутизации, также состоящей из двух фаз, как и про- 
цедура просмотра таблицы, в которой столбец маски отсутствует. 


1. Первая фаза состоит в поиске специфического маршрута для адреса ІРр. С этой целью из 
каждой записи таблицы, в которой маска имеет значение 255.255.255.255, извлекается 
адрес назначения и сравнивается с адресом из пакета ІРр. Если в какой-либо строке 
совпадение произошло, то адрес следующего маршрутизатора для данного пакета бе- 
рется из данной строки. 


2. Вторая фаза выполняется только в том случае, если во время первой фазы не произо- 
шло совпадения адресов. Она состоит в поиске неспецифического маршрута, общего 
для группы узлов, к которой относится и пакет с адресом ІРр. Для этого средствами ІР 
заново просматривается таблица маршрутизации, причем с каждой записью произво- 
дятся следующие действия: 


О маска (обозначим ее М), содержащаяся в данной записи, «накладывается» на ІР- 
адрес узла назначения ІРР, извлеченный из пакета: РО АМ” М; 


О полученное в результате число сравнивается со значением, которое помещено в поле 
адреса назначения той же записи таблицы маршрутизации; 


О если происходит совпадение, то протокол ІР соответствующим образом отмечает 
эту строку; 


О если просмотрены не все строки, то протокол ІР аналогичным образом просматри- 
вает следующую строку, если все (включая строку о маршруте по умолчанию), то 
просмотр записей заканчивается и происходит переход к следующему шагу. 


454 Часть М. Сети ТСРЛР 


3. После просмотра всей таблицы маршрутизатор выполняет одно их трех действий: 


О если не произошло ни одного совпадения и маршрут по умолчанию отсутствует, то 
пакет отбрасывается; 


О если произошло одно совпадение, то пакет отправляется по маршруту, указанному 
в строке с совпавшим адресом; 


О если произошло несколько совпадений, то все помеченные строки сравниваются 
и выбирается маршрут из той строки, в которой количество совпавших двоичных 
разрядов наибольшее (другими словами, в ситуации, когда адрес назначения паке- 
та принадлежит сразу нескольким подсетям, маршрутизатор использует наиболее 
специфический маршрут). 


ПРИМЕЧАНИЕ 


Во многих таблицах маршрутизации запись с адресом 0.0.0.0 и маской 0.0.0.0 соответствует маршруту 
по умолчанию. Действительно, любой адрес в пришедшем пакете после наложения на него маски 
0.0.0.0 даст адрес сети 0.0.0.0, что совпадает с адресом, указанным в записи. Поскольку маска 0.0.0.0 
имеет нулевую длину, этот маршрут считается самым неспецифическим и используется только при 
отсутствии совпадений с остальными записями из таблицы маршрутизации. 


Обратимся к нашему примеру и посмотрим, как маршрутизатор К2 (см. рис. 14.10) исполь- 
зует описанный алгоритм для работы со своей таблицей маршрутизации (см. табл. 14.8). 
Пусть на маршрутизатор К2 поступает пакет с адресом назначения 129.44.78.200. Модуль 
ІР, установленный на этом маршрутизаторе, прежде всего сравнит этот адрес с адресом 
129.44.128.15, для которого определен специфический маршрут. В отсутствие совпадения 
модуль [Р начинает последовательно обрабатывать все строки таблицы, накладывая маски 
и сравнивая результаты до тех пор, пока не найдет совпадения номера сети в адресе назна- 
чения и в строке таблицы. В результате определяется маршрут для пакета 129.44.78.200 — 
он должен быть отправлен на выходной порт маршрутизатора 129.44.64.7 в сеть 129.44.64.0, 
непосредственно подключенную к данному маршрутизатору. 


Использование масок переменной длины 


Во многих случаях более эффективным является разбиение сети на подсети разного разме- 
ра. На рис. 14.11 приведен другой вариант распределения того же адресного пространства 
129.44.0.0/16, что и в предыдущем примере. Здесь половина из имеющихся адресов (215) 
отведена для создания сети 1, имеющей адрес 129.44.0.0 и маску 255.255.128.0. 


Следующая порция адресов, составляющая четверть всего доступного адресного про- 
странства (214), определяемая адресом 129.44.128.0 с маской 255.255.192.0, назначена для 
сети 2. Затем в пространстве адресов был «вырезан» небольшой фрагмент для создания 
вспомогательной сети 3, предназначенной для связывания внутреннего маршрутизатора 
К2 с внешним маршрутизатором К1. Для нумерации узлов в такой вырожденной сети 
достаточно отвести два двоичных разряда. Из четырех возможных комбинаций номеров 
узлов — 00, 01, 10 и 11 — два номера имеют специальное назначение и не могут быть при- 
своены узлам, но оставшиеся два (10 и 01) позволяют адресовать порты маршрутизаторов. 
Поле номера узла в таком случае имеет два двоичных разряда, маска в десятичной нотации 
имеет вид 255.255.255.252, а номер сети, как видно из рисунка, равен 129.44.192.0. 
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Поле номера подсети 


Поле номера сети класса В Поле номеров узлов 


3 байта 4 байта 


2 байта 


10000001 0000000'00000000 ВЗР 
10000001 0000000 ;00000001 
10000001 0000000':00000010 129.44.0.0, 
у маска 255.255.128.0 
> ж. 8 Г я = ә = в Теже то 2 

10000001 101 01111411: 311111411 

= 1000000 1'00101 000000 '0000000 Сеть 2 
1000000 1;00101 000000 ,0000000 ЕЕ 


Адресное пространство 2 


10000001'001 


10000001,001 
10000001'001 


А 
1 | 
1100111000000':010000 
1 

10000001'00101 


10041 1000000'00000 
100|11000000'01000 


0000000000000 
00000,00000001 


о |. 


маска 255.255.192.0 


0 1 11111.111111 Число узлов 2“ 
с 3 
т 100 110000007 ИИ 
0 


129.44.192.0, 
маска 255.255.255.252 


Число узлов —4 


Сеть 4 


129.44.224.0, 
маска 255.255.224.0 
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1141911194444 


10000001'00 101100 


Число узлов 2" 


Рис. 14.11. Разделение адресного пространства 129.44.0.0 сети класса В на сети разного 
размера путем использования масок переменной длины 


ПРИМЕЧАНИЕ 


Глобальным связям между маршрутизаторами, соединенными по двухточечной схеме, не обязатель- 
но давать ІР-адреса. Такой интерфейс маршрутизатора называется ненумерованным (иппитБеге4). 
Однако обычно подобной вырожденной сети все же дают ІР-адрес. Помимо прочего, это делается, 
например, для того чтобы скрыть внутреннюю структуру сети и обращаться к ней по одному адресу 
входного порта маршрутизатора, в данном примере — по адресу 129.44.192.1, применяя технику 
трансляции сетевых адресов (№еѓмогк А44гезз Тгапѕ1айіоп, МАТ). Также на двухточечных линиях 
можно использовать адреса с маской /31, стандарт разрешает в этом случае использовать в поле 
номера узла значения 0 и 1. 


Оставшееся адресное пространство администратор может «нарезать» на разное количество 
сетей разного объема, в зависимости от своих потребностей. Из оставшегося пула (214 – 4) 
адресов администратор, например, может образовать еще одну достаточно большую сеть 
с числом узлов 213 — на рисунке это сеть 4. Ясно, что разбиение может быть другим, но 
в любом случае с помощью масок переменного размера администратор имеет возможность 
более рационально распорядиться всеми имеющимися у него адресами. На рис. 14.12 по- 


казан пример сети, структура которой отражает описанное выше разделение адресного 
пространства. 
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Сеть 1 129.44.0.0 
Маска 255.255.128.0 


215 узлов 
РЯ 
вз == 
ть провайдера Сеть 3 129.44.192.0 129.44.128.3 
Маска 255.255.255.252 
К1 4 узла В2 
= сер 129.44.128.1 Сеть 2 129.44.128.0 
2. == аа 255.255 1920 


129.44.192.2 129.44.192.1 214 узлов 


КА Жа 


> 


ча 


Сеть 4 129.44.224.0 И 129.44.224.5 


Маска 255.255.224.0 
213 узлов 


129.44.240.3 
Рис. 14.12. Структуризация сети масками переменной длины 


Давайте посмотрим, как маршрутизатор К2 обрабатывает поступающие на его интерфейсы 
пакеты (табл. 14.9). 


Таблица 14.9. Таблица маршрутизатора В2 в сети с масками переменной длины 


Адрес следующего Адрес порта Расстояние 
маршрутизатора 


ооо [о [ею ета [о 


Пусть поступивший на К2 пакет имеет адрес назначения 129.44.240.3. Поскольку спец- 
ифические маршруты в таблице отсутствуют, маршрутизатор переходит ко второй фазе: 
для каждой строки таблицы маска накладывается на адрес пакета, а затем результат срав- 
нивается с адресом назначения из таблицы маршрутизации: 

(129.44.240.3) АМ” (255.255.128.0) = 129.44.128.0 — не совпадает с 129.44.0.0; 
(129.44.240.3) АМ” (255.255.192.0) = 129.44.192.0 — не совпадает с 129.44.128.0; 
(129.44.240.3) АМ” (255.255.255.248) = 129.44.240.0 — не совпадает с 129.44.192.0; 
(129.44.240.3) АМ” (255.255.224.0) = 129.44.224.0 — совпадает. 
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Таким образом, совпадение имеет место в одной строке. Пакет будет отправлен на марш- 
рутизатор КА, к которому подключена сеть назначения 129.44.224.0. 


ПРИМЕЧАНИЕ 


При использовании механизма маршрутизации на основе масок в ІР-пакетах передается только 
]Р-адрес назначения, маска сети назначения — нет. Поэтому из ІР-адреса пришедшего пакета невоз- 
можно выяснить, какая часть адреса относится к номеру сети, а какая — к номеру узла. Если маски 
во всех подсетях имеют один размер, то это не создает проблем. Если же для образования подсетей 
применяют маски переменной длины, то маршрутизатор должен как-то узнавать, каким адресам сетей 
какие маски соответствуют. Для этого используются протоколы маршрутизации, переносящие между 
маршрутизаторами не только служебную информацию об адресах сетей, но и о масках, соответствую- 
щих этим номерам. К последним относятся протоколы КІРУ2 и ОЗРЕ тогда как протокол КІР маски 
не переносит и для маршрутизации на основе масок переменной длины не подходит. 


($) Перекрытие адресных пространств 


СЮОВ и маршрутизация 


Поскольку таблицы магистральных маршрутизаторов в Интернете содержат сотни и даже 
тысячи маршрутов, то в сети могут возникать перегрузки, вызванные обработкой больших 
объемов служебной информации об обновлении таблиц. На решение этой проблемы на- 
правлена, в частности, технология бесклассовой междоменной маршрутизации СТОК. Мы 
уже говорили в предыдущей главе о том, как СТОК способствует гибкости распределения 
адресов между владельцами сетей. Теперь покажем, как эта технология повышает эффек- 
тивность маршрутизации. 


Суть заключается в следующем. Каждому поставщику услуг Интернета назначается непрерывный 
диапазон ІР-адресов. При таком подходе все адреса каждого поставщика услуг имеют общую 
старшую часть — префикс, поэтому маршрутизация на магистралях Интернета может осуществ- 
ляться на основе префиксов, а не полных адресов сетей. А это значит, что вместо множества 
записей по числу сетей в таблицу маршрутизации достаточно поместить одну запись сразу для 
всех сетей, имеющих общий префикс. Такое агрегирование адресов позволит уменьшить объем 
таблиц в маршрутизаторах всех уровней и, следовательно, ускорить работу маршрутизаторов 
и повысить пропускную способность Интернета. 


Ранее рассматривались примеры, где администраторы сетей с помощью масок делили на 
несколько частей непрерывный пул адресов, полученный от поставщика услуг, чтобы ис- 
пользовать эти части для структуризации своей сети. Такой вариант применения масок 
для разделения на подсети называют субнетингом (зибпе пр). 


Вместе с тем в процессе разделения на подсети с помощью масок проявлялся и обратный эф- 
фект их применения — агрегирование. Упрощенно говоря, чтобы направить весь суммарный 
трафик, адресованный из внешнего окружения в сеть, разделенную на подсети, достаточно, 
чтобы во всех внешних маршрутизаторах наличествовала одна строка. В этой строке на месте 
адреса назначения должен быть указан общий префикс для всех этих сетей. Здесь мы имеем 
дело с операцией, обратной разделению на подсети, — операцией объединения нескольких 
меньших сетей в одну более крупную. Она называется супернетингом (5ирегпе пр). 
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Вернемся к рис. 14.12 и зададимся вопросом, как могла бы выглядеть таблица маршрутизато- 
ра Кі. Очевидный ответ — там должны быть записи обо всех четырех сетях клиента. Действи- 
тельно, такой вариант будет работать. Но маршрутизация будет еще более эффективной, если 
в таблице маршрутизатора В] задать только одну запись, которая выполняет агрегирование 
адресов всех подсетей, созданных на базе одной сети 129.44.0.0 (табл. 14.10). Вторая строка 
говорит о том, что среди всех возможных подсетей сети 129.44.0.0 есть одна (129.44.192.0/30), 


которой можно направлять пакеты непосредственно, а не через маршрутизатор К2. 
Таблица 14.10. Фрагмент таблицы маршрутизатора В1 
Адрес следующего 


Адрес порта Расстояние 
маршрутизатора 


129.44.0.0 255.255.0.0 129.44.192.1 129.44.191.2 
129.44.192.0 255.255.255.192 129.44.192.2 129.44.192.2 


Действуя аналогичным образом, провайдер отводит для каждого клиента по одной строке 
независимо от количества подсетей, организованных ими в своих сетях. Если все постав- 
щики услуг Интернета начнут придерживаться стратегии СТОК, то особенно заметный 
выигрыш будет достигаться в магистральных маршрутизаторах. 


Адрес назначения 


Необходимым условием эффективного использования технологии СОА является локализация 
адресов, то есть назначение адресов, имеющих совпадающие префиксы, сетям, располагаю- 
щимся территориально по соседству. Только в таком случае трафик может быть агрегирован. 


К сожалению, сейчас распределение адресов носит во многом случайный характер. Кар- 
динальный путь решения проблемы — перенумерование сетей. Однако эта процедура со- 
пряжена с определенными временными и материальными затратами, и для ее проведения 
пользователей нужно каким-либо образом стимулировать. В качестве таких стимулов 
рассматривается, например, введение оплаты за строку в таблице маршрутизации или же 
за количество узлов в сети. Первое требование подводит потребителя к мысли получить 
у поставщика услуг такой адрес, чтобы маршрутизация трафика в его сеть шла на основа- 
нии префикса и номер его сети не фигурировал больше в магистральных маршрутизаторах. 
Требование оплаты каждого адреса узла также может подтолкнуть потребителя решиться 
на перенумерование, чтобы получить ровно столько адресов, сколько ему нужно. 


Технология СТОК успешно используется в текущей версии протокола ІР (1Ру4) и под- 
держивается такими протоколами маршрутизации, как ОЗРЕ, КІР-2, ВСРА (в основном 
на магистральных маршрутизаторах Интернета). Особенности применения СТОК в новой 
версии протокола ІР (ТРуб) рассматриваются в главе 17. 


Фрагментация ІР-пакетов 


Важной особенностью протокола ІР, отличающей его от других сетевых протоколов (на- 
пример, от сетевого протокола ІРХ, который какое-то время назад конкурировал с ІР), 
является его способность выполнять динамическую фрагментацию пакетов при передаче их 
между сетями с различными максимально допустимыми значениями длины поля данных 
кадров (Махитит Тгапѕтіѕѕ1іоп (пі, МТО). Значения МТО зависят как от протокола, так 
и от настройки сетевых интерфейсов. 
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Прежде всего отметим разницу между фрагментацией сообщений в узле-отправителе и дина- 
мической фрагментацией сообщений в транзитных узлах сети — маршрутизаторах. В первом 
случае деление сообщения на несколько более мелких частей (фрагментация) происходит 
при передаче данных между протоколами стека в пределах одного и того же компьютера. 
Протоколы анализируют тип технологии нижнего уровня, определяют ее МТО и делят 
сообщения на части, умещающиеся в кадры канального уровня того же стека протоколов. 
В стеке ТСР/[Р эту задачу решает протокол ТСР, который разбивает поток байтов, передава- 
емых ему с прикладного уровня, на сегменты нужного размера, например по 1460 байт, если 
на нижнем уровне данной сети работает протокол ЕФегпее. Протокол ІР в узле-отправителе, 
как правило, не использует свои возможности по фрагментации пакетов. А вот на транзитном 
узле — маршрутизаторе, когда пакет необходимо передать из сети с большим значением МТО 
в сеть с меньшим значением МТО, способности протокола [Р выполнять фрагментацию 
становятся востребованными. Пакеты-фрагменты, путешествуя по сети, могут вторично 
подвергнуться фрагментации на каком-либо из промежуточных маршрутизаторов. 


Параметры фрагментации 


Каждый из фрагментов снабжается полноценным заголовком [Р. Для последующей сборки 
фрагментов в исходное сообщение используются следующие поля заголовка: 


У Идентификатор пакета используется для распознавания пакетов, образовавшихся пу- 
тем деления на части (фрагментации) исходного пакета. Все части (фрагменты) одного 
пакета должны иметь одинаковое значение этого поля. Модуль ІР, отправляющий пакет, 
устанавливает в поле идентификатора значение, которое должно быть уникальным для 
данной пары отправителя и получателя в течение всего времени, пока данный пакет 
(или любой его фрагмент) может существовать в составной ІР-сети. 


О Поле времени жизни (Тіте То уе, ТТІ.) занимает один байт и определяет предель- 
ный срок, в течение которого пакет может перемещаться по сети. Время жизни пакета 
измеряется в секундах и задается источником (отправителем). Как отмечено в начале 
этой главы, по истечении каждой секунды пребывания на каждом из маршрутизаторов, 
через которые проходит пакет во время своего «путешествия» по сети, из его текущего 
времени жизни вычитается единица; единица вычитается и в том случае, если время 
пребывания было меньше секунды. Поскольку современные маршрутизаторы редко 
обрабатывают пакет дольше чем за одну секунду, время жизни можно интерпретировать 
как максимальное число транзитных узлов, которые разрешено пройти пакету. Если 
значение поля времени жизни становится нулевым до того, как пакет достигает полу- 
чателя, то пакет уничтожается. При сборке фрагментов хост-получатель использует 
значение ТТІ. как крайний срок ожидания недостающих фрагментов. 


Ч Поле смещения фрагмента содержит информацию о положении фрагмента относитель- 
но начала поля данных исходного нефрагментированного пакета. Так, первый фрагмент 
будет иметь в поле смещения нулевое значение. В пакете, не разбитом на фрагменты, 
поле смещения также имеет нулевое значение. Смещение задается в байтах и должно 
быть кратно 8 байтам. 


Ч Установленный в единицу однобитный флаг МЕ (Моге Егартепіѕ — больше фраг- 
ментов) говорит о том, что данный пакет является промежуточным (не последним) 


фрагментом. Модуль ІР, отправляющий нефрагментированный пакет, устанавливает 
бит МЕ в нуль. 


460 Часть ІМ Сети ТСРЛР 


О Флаг БЕ (Оо поё Егавтепё — не фрагментировать), установленный в единицу, запре- 
щает маршрутизатору фрагментировать данный пакет; если помеченный таким образом 
пакет не может достичь получателя без фрагментации, то модуль [Р его уничтожает, 
а узлу-отправителю посылается диагностическое сообщение. Возможность запретить 
фрагментацию позволяет в некоторых случаях ускорить работу приложений. Для этого 
необходимо предварительно исследовать сеть, определить максимальный размер паке- 
та, который сможет пройти весь путь без фрагментации, а затем использовать пакеты 
такого или меньшего размера. 


Механизм фрагментации 


Рассмотрим механизм фрагментации на примере сети, показанной на рис. 14.13. 


В одной из подсетей (Егате Кейау) значение МТО равно 4080, в другой (Еќћегпеі) — 
1492. Хост, принадлежащий сети Егате Ке]ау, передает данные хосту в сети Есћегпеѓ. На 
обоих хостах и на маршрутизаторе, связывающем подсети, установлен стек протоколов 
ТСР/ЛІР Транспортному уровню хоста-отправителя известно значение МТО нижележащей 
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Рис. 14.13. Фрагментация в составной сети 
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технологии (4080). На основании этого модуль ТСР «нарезает» свои сегменты размером 
4000 байт и передает вниз протоколу ІР, который помещает сегменты в поле данных [Р- 
пакетов и генерирует для них заголовки. Обратим особое внимание на заполнение полей 
заголовка, прямо связанных с фрагментацией: 


О пакету присваивается уникальный идентификатор, например 12456; 
О поскольку пакет еще не фрагментирован, в поле смещения помещается значение 0; 


О признак МЁтакже обнуляется, это показывает, что пакет одновременно является и сво- 
им последним фрагментом; 


О признак ОРустанавливается в 1, это означает, что данный пакет можно фрагментировать. 


Общая величина [Р-пакета составляет 4000 плюс 20 (размер заголовка [Р), то есть 4020 байт, 
что умещается в поле данных кадра Егате Ке]ау, которое в данном примере равно 4080. Далее 
модуль ІР хоста-отправителя передает этот кадр своему сетевому интерфейсу Егате Ве]ау, 
который отправляет кадры следующему маршрутизатору. Модуль ІР следующего маршру- 
тизатора по сетевому адресу прибывшего ІР-пакета определяет, что пакет нужно передать 
в сеть Ефегпее. Однако она имеет значение МТО, равное 1492, что значительно меньше 
размера поступившего на входной интерфейс пакета. Следовательно, ІР-пакет необходимо 
фрагментировать. Модуль [Р выбирает размер поля данных фрагмента равным 1000, так что 
из одного большого ІР-пакета получается четыре маленьких пакета-фрагмента. Для каждого 
фрагмента и его заголовка ІР в маршрутизаторе создается отдельный буфер (на рисунке 
фрагменты и соответствующие им буферы пронумерованы от 1 до 4). Протокол ІР копирует 
в эти буферы содержимое некоторых полей заголовка ІР исходного пакета, создавая тем са- 
мым «заготовки» заголовков [Р всех новых пакетов-фрагментов. Одни параметры заголовка 
ІР копируются в заголовки всех фрагментов, другие — лишь в заголовок первого фрагмента. 


В процессе фрагментации могут измениться значения некоторых полей заголовков [Р в па- 
кетах-фрагментах по сравнению с заголовком [Р исходного пакета. Так, каждый фрагмент 
имеет собственные значения контрольной суммы заголовка, смещения фрагмента и общей 
длины пакета. Во всех пакетах, кроме последнего, флаг МЕ устанавливается в единицу, 
ав последнем фрагменте — в нуль. Полученные пакеты-фрагменты имеют длину 1020 байт 
(с учетом заголовка ІР), поэтому они свободно помещаются в поле данных кадров Е(Тегпей. 
На рисунке показаны разные стадии перемещения фрагментов по сети. Фрагмент 2 уже 
достиг хоста-получателя и помещен в приемный буфер. Фрагмент 1 еще перемещается по 
сети Еєћегпеѓ, остальные фрагменты находятся в буферах маршрутизатора. Теперь обсудим, 
как происходит сборка фрагментированного пакета на хосте назначения. 


ПРИМЕЧАНИЕ — 


Отметим, что ІР-маршрутизаторы не собирают фрагменты пакетов в более крупные пакеты, даже 
если на пути встречается сеть, допускающая такое укрупнение. Это связано с тем, что отдельные 
фрагменты сообщения могут перемещаться по составной сети разными маршрутами, поэтому нет 
гарантии, что все фрагменты на своем пути пройдут через какой-то один определенный маршру- 
тизатор. 


На хосте назначения для каждого фрагментированного пакета отводится отдельный буфер. 
В этот буфер принимающий протокол ІР помещает ІР-фрагменты, у которых совпадают 
как ІР-адреса отправителя и получателя, так и значения в полях идентификатора (в на- 
шем примере — 12456). Все эти признаки говорят модулю ІР, что данные пакеты являются 
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фрагментами одного исходного Пакета. Сборка заключается в помещении данных из каж- 
ДОГО фрагмента в позицию, определенную смещением, указанным в заголовке фрагмента. 


Когда первый фрагмент исходного пакета приходит на хост-получатель, тот запускает 
таймер, определяющий максимальное время ожидания прибытия остальных фрагментов 
данного пакета. В различных реализациях ІР применяются разные правила выбора мак- 
симального времени ожидания. В частности, таймер может быть установлен на фиксиро- 
ванный период времени (от 60 до 120 секунд), рекомендуемый КЕС. Как правило, этот 
интервал достаточен для доставки пакета от отправителя получателю. В других реали- 
зациях максимальное время ожидания определяется с помощью адаптивных алгоритмов 
измерения и статистической обработки временных параметров сети, позволяющих оцени- 
вать ожидаемое время прибытия фрагментов. Наконец, тайм-аут может быть выбран и на 
основе значений ТТІ. прибывающих фрагментов. Последний подход основан на том, что 
нет смысла ожидать, пока прибудут другие фрагменты пакета, если время жизни одного из 
прибывших фрагментов уже истекло. Если хотя бы один фрагмент пакета не успеет прийти 
на хост назначения к моменту истечения таймера, то никаких действий по дублированию 
отсутствующего фрагмента не предпринимается, а все полученные к этому времени фраг- 
менты пакета отбрасываются. Хосту, пославшему исходный пакет, направляется ІСМР- 
сообщение об ошибке. Такому поведению протокола ІР вполне соответствует его кредо «по 
возможности» — стараться, но никаких гарантий не давать. Признаком окончания сборки 
является отсутствие незаполненных промежутков в поле данных и прибытие последнего 
фрагмента (с равным нулю флагом МЕ) до истечения тайм-аута. Когда пакет собран, про- 
токол ІР передает его вышележащему протоколу, например ТСР. 


Протокол 1СМР 


Протокол межсетевых управляющих сообщений (Іпїегпеї Сопіго! Меѕѕаде Ргоїосо!, ІСМР) 
является вспомогательным протоколом, использующимся для диагностики и мониторинга сети. 


Можно представить ряд ситуаций, когда протокол ІР не может доставить пакет адресату — 
например, истекает время жизни пакета, в таблице маршрутизации отсутствует маршрут 
к заданному в пакете адресу назначения, пакет не проходит проверку по контрольной 
сумме, шлюз не имеет достаточно места в своем буфере для передачи какого-либо пакета 
ит. д., ит. п. Свойство «необязательности» протокола ІР, доставляющего данные «по воз- 
можности», компенсируется протоколами более высоких уровней стека ТСР/ТР например 
ТСР на транспортном уровне и в какой-то степени ОМ№Ѕ на прикладном уровне. Они берут 
на себя обязанности по обеспечению надежности, применяя такие известные приемы, как 
нумерация сообщений, подтверждение доставки, повторная посылка данных. 


Протокол [СМР также призван компенсировать ненадежность протокола ІР, но несколько 
иным образом. Он не предназначен для исправления возникших при передаче пакета про- 
блем: если пакет потерян, то [СМР не может послать его заново. Задача [СМР другая — он 
является средством оповещения отправителя о «несчастных случаях», произошедших с его 
пакетами. Пусть, например, протокол ІР, работающий на каком-либо маршрутизаторе, об- 
наружил, что пакет для дальнейшей передачи по маршруту необходимо фрагментировать, 
но в пакете установлен признак ОЕ (не фрагментировать). В таком случае протокол ІР, 
прежде чем отбросить пакет, отправляет диагностическое ІСМР-сообщение конечному 
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узлу-источнику. ІСМР-сообщение передается по сети в поле данных ІР-пакета. ІР-адрес 
узла-источника определяется из заголовка исходного пакета, вызвавшего инцидент. 


Сообщение, прибывшее в узел-источник, может быть обработано либо ядром ОС, либо 
протоколами транспортного и прикладного уровней, либо приложениями или проиг- 
норировано. Важно, что обработка ІСМР-сообщений не входит в обязанности протоко- 
лов ІР и ІСМР Заметим, некоторые из пакетов могут исчезнуть в сети без каких-либо 
оповещений. Так, протокол [СМР не предусматривает передачу сообщений о проблемах, 
возникающих при обработке ІР-пакетов, несущих ІСМР-сообщения об ошибках. Такое 
решение принято разработчиками протокола, чтобы не порождать «штормы» в сетях, когда 
количество сообщений об ошибках лавинообразно возрастает. 


Формат, типы и коды 1СМР-сообщений 


Особенностью протокола [СМР является функциональное разнообразие решаемых задач, 
а следовательно, и связанных с этим сообщений. Все типы сообщений имеют один и тот же 


формат (рис. 14.14), однако интерпретация полей существенно зависит от того, к какому 
типу относится сообщение. 


Контрольная 
сумма 


Зависит от типа Зависит от типа 
и кода сообщения и кода сообщения 


Заголовок ІСМР 


Поле данных 


Зависит от типа и кода сообщений 


Рис. 14.14. Формат ІСМР-сообщения 


Заголовок [СМР-сообщения состоит из 8 байт: 
О тип (1 байт) — числовой идентификатор типа сообщения; 
О код (1 байт) — числовой идентификатор, более тонко дифференцирующий тип ошибки; 


Ч контрольная сумма (2 байта) — подсчитывается для всего ІСМР-сообщения. 


Содержимое оставшихся 4 байт в заголовке и поле данных зависит от значений полей типа 
и кода, 


На рис. 14.15 показана таблица основных типов [СМР-сообщений. Эти сообщения можно 
разделить на две группы: 


О сообщения об ошибках; 


О сообщения запрос-ответ (отмечены в таблице темным фоном). 
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Типы ІСМР-сообщений Коды причин ошибки типа З 


Тип сообщения 


Г ©. Сеть недостижима 
Эхо-ответ 


7 
Еи 
Р Ы 


Значение 
в поле «Тип» 


А, | Требуется 
ЕЯ фрагментация 
Объявление маршрутизатора 
Запрос к маршрутизатору 
Проблема с параметрами пакета 


Рис. 14.15. Типы ІСМР-сообщений и коды причин ошибки типа 3 


" 5 Ошибка в маршруте 
\ от источника 
\ Сеть назначения 
Я неизвестна 
\ 7 Хост назначения 
Х неизвестен 


Сообщения типа «запрос-ответ» связаны в пары: «эхо-запрос — эхо-ответ», «запрос ма- 
ски — ответ маски», «запрос отметки времени — ответ отметки времени». Важную роль 
в работе маршрутизируемой сети играет пара сообщений «запрос маршрутизатора» (гоџќег 
ѕо]ісібабіоп) и «объявление маршрутизатора» (гощег айуегііѕетепі), которые позволяют 
хостам и маршрутизаторам находить друг друга. 


Сообщения, относящиеся к группе сообщений об ошибках, конкретизируются уточняющим 
кодом. На рисунке показан фрагмент таблицы кодов сообщений об ошибке недостижимо- 
сти узла назначения, имеющей тип 3. Как видим, сообщение этого типа может быть вызвано 
различными причинами: неверный адрес сети или конечного узла (код 0 или 1), отсутствие 
на конечном узле-адресате необходимого протокола прикладного уровня (код 2 — «про- 
токол недостижим» ) или открытого порта ОЮР/ТСР (код З — «порт недостижим»). Узел 
(или сеть) назначения может быть также недостижим по причине временной неработо- 
способности аппаратуры или из-за того, что маршрутизатор не имеет данных о пути к сети 
назначения. Всего таблица содержит 15 кодов. Аналогичные таблицы кодов существуют 
и для других типов сообщений об ошибках. 


Ошибка недостижимости узла и утилита ігасегоиѓе 


В качестве примера рассмотрим использование ІСМР-сообщений об ошибке недостижи- 
мости узла в популярной утилите ѓтасеғоиѓе, предназначенной для мониторинга сети. Когда 
маршрутизатор не может передать или доставить [Р-пакет, он отсылает узлу, отправивше- 
му этот пакет, сообщение о недостижимости узла назначения. Формат этого сообщения 
показан на рис. 14.16. В поле типа помещается значение 3, а в поле кода — значение из 
диапазона 0-15, уточняющее причину, по которой пакет не был доставлен. Следующие за 
полем контрольной суммы четыре байта заголовка не используются и заполняются нулями. 
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Контрольная 
сумма 


Не используется 


Заголовок ІСМР 


Поле данных 


Заголовок + первых 8 байт поля данных, 
вызвавшего ошибку ІР-пакета 


Рис. 14.16. Формат ІСМР-сообщения об ошибке недостижимости узла назначения 


Помимо причины ошибки, указанной в заголовке (в полях типа и кода), дополнительная 
диагностическая информация передается в поле данных [СМР-сообщения. Именно туда 
помещаются заголовок ІР и первые 8 байт данных 1Р-пакета, вызвавшего ошибку. Эта ин- 
формация позволяет узлу-отправителю еще точнее диагностировать причину ошибки, по- 
скольку все протоколы стека ТСР/ТР, использующие для передачи сообщений ІР-пакеты, 
помещают наиболее важную для анализа информацию в первые 8 байт своих сообщений. 
Так, в поле данных ІСМР-сообщения могут оказаться первые 8 байт заголовка ТСР или 
ОБР, содержащих информацию (номер порта), идентифицирующую приложение, по- 
славшее потерянный пакет. Значит, при разработке приложения можно предусмотреть 
встроенные средства реакции на сообщения о недоставленных пакетах. ІСМР-сообщения 
об ошибках лежат в основе работы популярной утилиты фгасегоще для ОС Ощх, имеющей 
в ОС Міпдомѕ название ќгасегё. Утилита позволяет проследить маршрут до удаленного 
хоста, определить среднее время оборота (КТТ), [Р-адрес и в некоторых случаях доменное 
имя каждого промежуточного маршрутизатора. Эта информация помогает найти маршру- 
тизатор, на котором оборвался путь пакета к удаленному хосту. 


Утилита (гасегоще осуществляет трассировку маршрута, посылая серию обычных ІР- 
пакетов в конечную точку изучаемого маршрута. Идея метода состоит в следующем. 
Значение времени жизни (ТТІ) первого отправляемого пакета устанавливается равным 1. 
Когда протокол ГР первого маршрутизатора принимает этот пакет, он в соответствии со 
своим алгоритмом уменьшает значение ТТИ. на 1 и получает 0. Маршрутизатор отбрасы- 
вает пакет с нулевым временем жизни и возвращает узлу-источнику ІСМР-сообщение об 
ошибке истечения времени дейтаграммы (значение поля типа равно 11) вместе с заголов- 
ком ІР и первыми 8 байтами потерянного пакета. Получив ІСМР-сообщение о причине 
недоставки пакета, утилита {гасегоще запоминает адрес первого маршрутизатора (который 
извлекает из заголовка ІР-пакета, несущего ІСМР-сообщение). 


Затем {гасегоще посылает следующий ІР-пакет, но теперь со значением ТТТ, равным 2. 
Этот пакет благополучно проходит первый маршрутизатор, но «умирает» на втором, 
о чем немедленно отправляется аналогичное ІСМР-сообщение об ошибке истечения 
времени дейтаграммы. Утилита (гасегоще запоминает адрес второго маршрутизатора, 
ит. д. Такие действия выполняются с каждым маршрутизатором вдоль маршрута вплоть 
до узла назначения или неисправного маршрутизатора. Мы рассматриваем работу утили- 
ты (тасегоще весьма схематично, но и этого достаточно, чтобы оценить изящество идеи, 
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лежащей в основе ее работы. Остальные ІСМР-сообщения об ошибках имеют такой же 
формат и отличаются друг от друга только значениями полей типа и кода. Далее приведе- 
на копия экранной формы, выведенной утилитой ѓгасегі (ОС УМп4о\з) при трассировке 
хоста а45.ігќегпіс.пеї [198.49.45.29]: 


311 м5 290 тѕ 261 тѕ 144. 206.192.100 

281 тѕ 300 т$ 271 т$ 194.85.73.5 

2023 тѕ 290 т$ 311 тѕ тозсом-т9-2-$5.ге1сот.еи.пе* [193.124.254.37] 

290 т5 261 тѕ 280 мѕ МЅК-М9-13.Ке1сот. ЕО. пет [193.125.15.13] 

270 тѕ 281 тѕ 290 тѕ М$К.КАГ.-1-АТМО-155МЬ.Ке]сот.ЕЦ.пе* [193.124. 254.82] 

300 тѕ 311 тѕ 290 тѕ 5РВ-КАЅСОМ-1-ЕЗ-1-34МЬ.Ке1сот. ЕО. пе [193.124. 254.78] 

311 тѕ 300 тѕ 300 тѕ Нѕ55111-0.С01.5ТК2.АІТЕК.МЕТ [146.188.33.125] 

311 тѕ 330 тѕ 291 тѕ 421.АТМ6-ё-Ө.СК2.5ТК2.А1+ег.М№еї [146.188.5.73] 

360 тз 331 тѕ 330 тѕ 219.Нѕ5514-0.СК2.1М№01.А1+ег.М№еї [146.188. 2.213] 

10 351 тѕ 330 м$ 331 тѕ 412.Ат5-0.ВК1.1М№01.А1%ег.пеї [146.188.3. 205] 

11 420 тѕ 461 тѕ 420 тѕ 167.АТМ8-0-0.СК1.АТІ1.А1+ег.М№е+ї [137.39.69.182]12 461 тѕ 441 
т5 440 тѕ 311.АТМ12-0-0.ВК1.АТІ1.А1+ег.М№ет [137.39.21.73]13 451 тмѕ 410 т$ 431 т5 
а] апфа1-6г1.66пр]апе{ф .пе{ф [4.0.2.141]14 420 тѕ 411 тѕ 410 тѕ у1еппа1-6г2.66пр1апе*. 
пеф [4.0.3.154]15 411 т$ 430 тѕ 2514 тѕ у1еппа1-пбгЗ.Ь6пр]апе*.пе{ [4.0.3.150]16 
430 тѕ 421 т$ 441 тѕ мјеппа1-пбг2.Ббпр1апеї.пеї [4.0.5.45]17 431 т$ 451 тѕ 420 

тѕ сатргіаре1-6г1.ббпр1апеї.пеї [4.0.5.42]18 450 тмѕ 461 тѕ 441 мс сатбг14ве1- 
сг14.ббпріапеї.пеї [4.0.3.94]19 451 мс 461 мс 460 мс аїёбрсѕїо11.Бббпр1апеї.пеї 
[206.34.99.38]20 501 мс 466 мс 481 мс ѕһиїдомип.5.іпёегпіс.пеї [198.49.45. 29] 


о оо ло ллыЫычо мн 


Последовательность строк соответствует последовательности маршрутизаторов, образую- 
щих маршрут к заданному узлу. Первое число в строке — число хопов до соответствующего 
маршрутизатора. Утилита ігасегоиќѓе тестирует каждый маршрутизатор трижды, поэтому 
следующие три числа в строке — это значения АТТ, вычисленные путем посылки трех па- 
кетов, время жизни которых истекло на этом маршрутизаторе. Если ответ от какого-либо 
маршрутизатора не приходит за заданное время, то вместо времени на экране печатается 
звездочка (*). Далее идут доменное имя (если оно имеется) и ІР-адрес маршрутизатора. 
Видно, что почти все интерфейсы маршрутизаторов поставщиков услуг Интернета за- 
регистрированы в службе ОМ5, а первые два, относящиеся к локальным маршрутизато- 
рам, — нет. 


Еще раз подчеркнем, что время, указанное в каждой строке, не отражает время прохож- 
дения пакетов между двумя соседними маршрутизаторами — это время, за которое пакет 
проделывает путь от источника до соответствующего маршрутизатора и обратно. Так как 
ситуация в Интернете с загрузкой маршрутизаторов постоянно меняется, время достижи- 
мости маршрутизаторов не всегда нарастает монотонно, а может изменяться достаточно 
произвольным образом. 


Сообщения эхо-запрос и эхо-ответ в утилите ртд 


А сейчас давайте рассмотрим представителей другой группы ІСМР-сообщений — запрос- 
ответ — и поговорим об использовании этих сообщений в утилите рипй. Эхо-запрос и эхо- 
ответ, в совокупности называемые эхо-протоколом, представляют собой очень простое, 
но эффективное средство мониторинга сети. Компьютер или маршрутизатор посылает 
по составной сети [СМР-сообщение эхо-запроса, указывая в нем [Р-адрес узла, достижи- 
мость которого нужно проверить. Узел, получивший эхо-запрос, формирует и отправляет 
эхо-ответ отправителю запроса. Так как эхо-запрос и эхо-ответ передаются по сети внутри 
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ІР-пакетов, их успешная доставка указывает на нормальное функционирование всей транс- 
портной системы составной сети. 


Формат эхо-запроса и эхо-ответа показан на рис. 14.17. Поле типа для эхо-ответа равно 0, 
для эхо-запроса — 8; поле кода всегда равно 0 и для запроса, и для ответа. В байтах 5 и 6 
заголовка содержится идентификатор запроса, в байтах 7 и 8 — порядковый номер. В поле 
данных эхо-запроса может быть помещена произвольная информация, которая в соответ- 
ствии с данным протоколом должна быть скопирована в поле данных эхо-ответа. 


Контрольная 
сумма 


Тип = 0/8 


Идентификатор Порядковый 
запроса 


Заголовок ІСМР 


Рис. 14.17. Формат ІСМР-сообщений типа эхо-запрос и эхо-ответ 


Поля идентификатора запроса и порядкового номера используются одинаковым образом 
всеми сообщениями типа запрос-ответ. Посылая запрос, приложение помещает в эти два 
поля информацию, предназначенную для последующего встраивания ее в соответствую- 
щий ответ. Сообщение-ответ копирует значения этих полей в свои поля того же назначе- 
ния. Когда ответ возвращается в пункт отправки сообщения-запроса, то на основании иден- 
тификатора он может «найти и опознать» приложение, пославшее запрос. А порядковый 
номер используется приложением, чтобы связать полученный ответ с соответствующим 
запросом (учитывая, что одно приложение может выдать несколько однотипных запросов). 


Утилита ріпе обычно посылает серию эхо-запросов к тестируемому узлу и предоставляет 
пользователю статистику об утерянных эхо-ответах и среднем времени реакции сети на 


запросы. Утилита ріпе выводит на экран сообщения следующего вида обо всех поступив- 
ших ответах: 


# ріпе ѕегмег1.сіїтри. ги 

Ріпріпр ѕегуег1.сіїтри. ги [193.107. 2.200] міїһ 64 Буфе$ о? дажа: 
Кер1у +гот 193.107.2.200: буїеѕ=64 ©іте=256тѕ ТТЕ= 123 

Кер1у +гот 193.107.2.200: Буфе$=64 їіте=310тѕ ТТі= 123 

Вер]у Ғгот 193.107.2.200: Буфе$=64 +1те=260т$ ТТЕ= 123 

Кер1у +гот 193.107.2.200: буїеѕ=64 Тіте=146тѕ ТТЕ= 123 


Из сообщения видно, что в ответ на тестирующие запросы, посланные узлу зегуег1 тои. ги, 
получено 4 эхо-ответа. Длина каждого сообщения — 64 байта. В следующей колонке по- 
мещены значения времени оборота (КТТ), то есть времени от момента отправки запроса 
до получения ответа на запрос. Как видим, сеть работает достаточно нестабильно — время 
в последней строке отличается от времени во второй более чем в два раза. На экран выво- 
дится также оставшееся время жизни поступивших пакетов. 


ГЛАВА 15 Протоколы 
транспортного 
уровня ТСР и ЧОР 


Мультиплекирование 
и демультиплексирование приложений 


Порты 


Каждый компьютер способен выполнять несколько процессов, более того, даже отдель- 
ный прикладной процесс может иметь несколько точек входа, выступающих в качестве 
адресов назначения для пакетов данных. Поэтому доставка данных на сетевой интерфейс 
компьютера-получателя — это еще не конец пути, так как данные необходимо переправить 
конкретному процессу-получателю. Реализуемая протоколами ТСР и ОПР процедура рас- 
пределения между прикладными процессами пакетов, поступающих от сетевого уровня, 
называется демультиплексированием (рис. 15.1). 
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9 
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Мультиплексирование/ “ Мультиплексирование/ 
емультиплексирование емультиплексирование 


Протокол ІР 


А 


Р 

| 
А. в 
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Рис. 15.1. Мультиплексирование и демультиплексирование на транспортном уровне 
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Существует и обратная задача: данные, генерируемые разными приложениями, работаю- 
щими на одном конечном узле, должны быть переданы общему для всех них протоколь- 
ному модулю [Р для последующей отправки в сеть. Эту работу, называемую мультиплек- 
сированием, тоже выполняют протоколы ТСРи ПОР 


Протоколы ТСР и ОБР ведут для каждого приложения две системные очереди: очередь 
данных, поступающих к приложению из сети, и очередь данных, отправляемых этим при- 
ложением в сеть. Такие системные очереди называются портами!, причем входная и вы- 
ходная очереди одного приложения рассматриваются как один порт. Для идентификации 
портов им присваивают номера. 


Если процессы представляют собой популярные системные службы, такие как ЕТР цепе, 
НТТР, ТЕТР, ОМ ит. п., то за ними закрепляются стандартные назначенные номера, 
называемые также хорошо известными (\е-Кпо\/п) номерами портов. Эти номера за- 
крепляются и публикуются в стандартах Интернета (КЕС 1700, КЕС 3232). Так, номер 21 
закреплен за серверной частью службы удаленного доступа к файлам ЕТР а номер 23 — за 
серверной частью службы удаленного управления {е[пек. Назначенные номера из диапазона 
от 0 до 1023 являются уникальными в пределах Интернета и закрепляются за приложе- 
ниями централизованно. 


Для тех приложений, которые еще не стали столь распространенными, номера портов 
назначаются локально разработчиками этих приложений или ОС в ответ на поступление 
запроса от приложения. На каждом компьютере ОС ведет список занятых и свободных но- 
меров портов. При поступлении запроса от приложения, выполняемого на данном компью- 
тере, ОС выделяет ему первый свободный номер. Такие номера называют динамическими. 
В дальнейшем все сетевые приложения должны адресоваться к данному приложению 
с указанием назначенного ему динамического номера порта. После того как приложение 
завершит работу, номер его порта возвращается в список свободных и может быть назначен 
другому приложению. Динамические номера являются уникальными в пределах каждого 
компьютера, при этом обычной является ситуация совпадения номеров портов прило- 
жений, выполняемых на разных компьютерах. Как правило, клиентские части известных 
приложений (035, \/\М/У, ЕТР це|пе и др.) получают динамические номера портов от ОС. 


Все, что сказано о портах, в равной степени относится и к обоим протоколам транспортного 
уровня (ТСР и ОБР). В принципе, нет никакой зависимости между назначением номе- 
ров портов для приложений, использующих протокол ТСР, и приложений, работающих 
с протоколом ОРЮР. Приложения, передающие данные на уровень ІР по протоколу ОРрР, 
получают номера, называемые ОРЮР -портами. Аналогично приложениям, обращающимся 
к протоколу ТСР, выделяются ТСР-порты. В том и другом случаях это могут быть как 
назначенные, так и динамические номера. Диапазоны чисел, из которых выделяются но- 
мера ТСР- и Орр-портов, совпадают: от 0 до 1023 для назначенных и от 1024 до 65 535 
для динамических. Однако никакой связи между назначенными номерами ТСР- и ОррР- 
портов нет. Даже если номера ТСР- и ОРрР-портов совпадают, они идентифицируют раз- 
ные приложения. Например, одному приложению может быть назначен ТСР-порт 1750, 
а другому — ООР-порт 1750. В некоторых случаях, когда приложение может обращаться 
по выбору к протоколу ТСР или ОПР (например, таким приложением является О№5), ему, 
исходя из удобства запоминания, назначаются совпадающие номера ТСР- и ОРр-портов 
(в данном примере это хорошо известный номер 53). 


1 Порты приложений не надо путать с портами (сетевыми интерфейсами) оборудования. 
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Сокеты 


Стандартные назначенные номера портов уникально идентифицируют тип приложения 
(ЕТР или НТТР, или О№ ит. д.), но не могут использоваться для однозначной иденти- 
фикации прикладных процессов, связанных с каждым из этих типов приложений. Пусть, 
например, на одном хосте запущены две копии О№5-сервера — О№5-сервер 1, 0№-сервер 2 
(рис. 15.2). Каждый из этих О№5$-серверов имеет хорошо известный ОЮР-порт 53. Какому 
из этих серверов нужно направить запрос клиента, если в 0№-запросе в качестве иденти- 
фикатора сервера был указан только номер порта? 


ОМ№$-сервер 1 
ЕЕ 


Сокет ОМ$-сервера 1 
(1Р1, ЧОР-порт 53) 


ОМ$-сервер 2 Сокет ОМ$-сервера 2 


(1Р2, ЦОР-порт 53) 


ОМ$-клиент 2 


ІР-дейтаграмма 


ОМ№$-запрос| Порт назначения 53 ІР-адрес д В 
назначения 1Р2 ЁТ 
А ———_— 
ЦОР-дейтаграмма 
о адаарыл 
Кадр 


Рис. 15.2. Демультиплексирование протокола ЦОР на основе сокетов 


Чтобы снять неоднозначность в идентификации приложений, разные копии связываются 
с разными ІР-адресами. Для этого сетевой интерфейс компьютера, на котором выполняется 
несколько копий приложения, должен иметь соответствующее число ІР-адресов — на ри- 
сунке это ІР1 и ІР2. Во всех [Р-пакетах, направляемых О№5-серверу 1, в качестве [Р-адреса 
указывается ІР1, а О№5-серверу 2 — адрес 1Р2. Поэтому показанный на рисунке пакет, в поле 
данных которого содержится ООР-дейтаграмма с указанным номером порта 53, а в поле за- 
головка задан адрес 1Р2, однозначно будет направлен заданному адресату — ОМ$-серверу 2. 


Прикладной процесс однозначно определяется в пределах сети и в пределах отдельного ком- 
пьютера парой (!Р-адрес, номер порта), называемой сокетом (ѕоскеї). Сокет, определенный 
Р-адресом и номером ЧОР-порта, называется ЧОР-сокетом, а ІР-адресом и номером ТСР- 
порта — ТСР-сокетом. 


Здесь следует уточнить описанную в предыдущих главах упрощенную картину прохож- 
дения пакета вверх по стеку. Действительно, после получения ІР-пакета от протокола 
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канального уровня протокол ІР анализирует содержимое заголовка этого пакета, после 
чего заголовок отбрасывается, а «наверх» передается содержимое поля данных ІР-пакета, 
например ООР-дейтаграмма. Упрощение состоит в том, что вместе с содержимым поля дан- 
ных на транспортный уровень передается извлеченный из заголовка [Р-адрес назначения, 
который и используется для однозначной идентификации приложения. 


Протокол ЦОР и ЧОР-дейтаграммы 


Протокол ОРЮР подобно ІР является дейтаграммным протоколом, реализующим так назы- 
ваемый ненадежный сервис по возможности, который не гарантирует доставку сообщений 
адресату. При работе на хосте-отправителе данные от приложений поступают протоколу 
ОРЮР через порт в виде сообщений (рис. 15.3). Протокол ЦОР добавляет к каждому от- 
дельному сообщению свой 8-байтный заголовок, формируя из этих сообщений собственные 
протокольные единицы, называемые ООР-дейтаграммами, и передает их нижележащему 
протоколу ІР. В этом и заключаются его функции по мультиплексированию данных. 
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Рис. 15.3. Работа протокола ЦОР на хосте-отправителе 


Каждая дейтаграмма переносит отдельное пользовательское сообщение. Сообщения могут 
иметь разную длину, не превышающую, однако, длину поля данных протокола ІР, которое, 
в свою очередь, ограничено размером кадра технологии нижнего уровня. Поэтому если 
буфер ОРЮР переполняется, то сообщение приложения отбрасывается. 
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Заголовок ОЮР состоит из четырех двухбайтных полей: 
О: номер ООР-порта отправителя; 

О номер ОРрР-порта получателя; 

0 контрольная сумма; 

О длина дейтаграммы. 


Приведем пример заголовка ОРЮР с заполненными полями: 


Ѕоигсе Рогі = дхдөзѕ 
Оеѕїіпаїіоп Рогі = @хё411 


Тофа1 Іепеїһћ = 132 (0х84) Буте$ 
Сһескѕит = @ёх5333 


В этой ОРЮР-дейтаграмме в поле данных, длина которого, как следует из заголовка, равна 
(132 – 8) байт, помещено сообщение О№$-сервера, что можно видеть по номеру порта 
источника (Ѕоигсе Рогі = @ёхдөзѕ). В шестнадцатеричном формате это значение равно 
стандартному номеру порта ОМ№$-сервера — 53. 


Судя по простоте заголовка, протокол ОРЮР несложен. Действительно, его функции 
сводятся к простой передаче данных между прикладным и сетевым уровнями, а также 
примитивному контролю искажений в передаваемых данных. При контроле искажений 
протокол ОРЮР только диагностирует, но не исправляет ошибки. Если контрольная сумма 
показывает, что в поле данных ООР-дейтаграммы произошла ошибка, то протокол (ОР 
просто отбрасывает поврежденную дейтаграмму. 


Работая на хосте-получателе, протокол ОРЮР принимает от протокола ІР извлеченные 
из пакетов ООР-дейтаграммы. Полученные из ІР-заголовка [Р-адрес назначения и из 
ООрР-заголовка номер порта используются для формирования ОРЮР-сокета, однозначно 
идентифицирующего приложение, которому направлены данные. Протокол ОРР осво- 
бождает дейтаграмму от ЧОР-заголовка. Полученное в результате сообщение он передает 
приложению на соответствующий ОРР-сокет. Таким образом, протокол (ОР выполняет 
демультиплексирование на основе сокетов. 


Протокол ТСР и ТСР-сегменты 


Протокол ТСР предназначен для передачи данных между приложениями. Этот протокол основан 
на логическом соединении, что позволяет ему обеспечивать гарантированную доставку данных, 
используя в качестве инструмента ненадежный дейтаграммный сервис протокола ІР. 


При работе на хосте-отправителе протокол ТСР рассматривает информацию, поступаю- 
щую кнему от прикладных процессов, как неструктурированный поток байтов (рис. 15.4). 
Поступающие данные буферизуются средствами ТСР. Для передачи на сетевой уровень из 
буфера «вырезается» некоторая непрерывная часть данных, которая называется сегментом! 
и снабжается заголовком. 


1 Заметим, что сегментом называют как единицу передаваемых данных в целом (поле данных и за- 
головок протокола ТСР), так и отдельно поле данных. 
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Сов 7) 


еструктуриро- Неструктуриро- 
ванный выходной | ванный выходно 
поток байтов поток байтов 


Заголовки 
сегментов 


ІР-протокол 


Сетевой 
интерфейс 


Хост- 
отправитель 


В сеть 


Рис. 15.4. Формирование ТСР-сегментов из потока байтов 


ПРИМЕЧАНИЕ 


473 


В отличие от протокола (ОР, создающего дейтаграммы на основе логически обособленных единиц 
данных (сообщений, генерируемых приложениями), протокол ТСР делит поток данных на сегменты 


без учета их смысла или внутренней структуры. 


Заголовок ТСР-сегмента содержит значительно больше полей, чем заголовок ОРЮР, что 
отражает более развитые возможности протокола ТСР (рис. 15.5). Краткие описания 
большинства полей помещены на рисунке (более подробно они рассматриваются в ходе 


изучения функций протокола ТСР). 


Коротко поясним значение однобитных полей, называемых флагами, или кодовыми 
битами (сое 55). Они расположены сразу за резервным полем и содержат служебную 
информацию о типе данного сегмента. Положительное значение сигнализируется уста- 


новкой этих битов в единицу: 
О ОКС — срочное сообщение; 


АСК — квитанция на принятый сегмент; 


В$Т — запрос на сброс соединения; 


осо 


при установлении соединения, 


Р$Н — запрос на отправку сообщения без ожидания заполнения буфера; 


ЗУМ — сообщение, используемое для синхронизации счетчиков переданных данных 
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О ЕМ — признак достижения передающей стороной последнего байта в потоке пере- 
даваемых данных. 


2 байта 2 байта 


Порт источника (ѕоигѕ роп) Порт приемника (дбеѕііпайоп рог) 


Последовательный номер (ѕедиепсе пигтбег) — 
номер первого байта данных в сегменте, определяет смещение 
сегмента относительно потока отправляемых данных 


Подтвержденный номер (аскпоміеддетепі питбег) — 
максимальный номер байта в полученном сегменте, 
увеличенный на единицу 


Окно (ууіпаом) — количество байтов 
данных, ожидаемых отправителем 
данного сегмента, начиная с байта, 
номер которого указан в поле 
подтвержденного номера 


Длина 


Резерв 
заголовка 


(Һеп) (гезегуед) 


Указатель срочности (игдеп! роіпіег) 
Контрольная сумма указывает на конец данных, которые 
(спескзит) необходимо срочно принять, 
несмотря на переполнение буфера 


Параметры (оріопѕ) — 
это поле имеет переменную длину и может вообще отсутствовать, используется 
для решения вспомогательных задач, например для согласования 
максимального размера сегмента 


Заполнитель (рад д та) — 

это фиктивное поле может иметь переменную длину, 
используется для доведения 

размера заголовков до целого числа 32-битовых слов 


Рис. 15.5. Формат заголовка ТСР-сегмента 


Логические соединения — 
основа надежности ТСР 


Основным отличием ТСР от ЦОР является то, что на протокол ТСР возложена дополнительная 
задача — обеспечить надежную доставку сообщений, используя в качестве основы ненадежный 
дейтаграммный протокол ІР. 


Для решения этой задачи протокол ТСР использует метод продвижения данных с уста- 
новлением логического соединения. Как отмечалось, логическое соединение дает возмож- 
ность участникам обмена следить за тем, чтобы данные не были потеряны, искажены или 


продублированы, а также чтобы они пришли к получателю в том порядке, в котором были 
отправлены. 
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Далее в разделе «Методы квитирования» мы рассмотрим различные подходы к органи- 
зации надежного логического канала, в том числе подробно остановимся на концепции 
скользящего окна, лежащей в основе протокола ТСР. 


Протокол ТСР устанавливает логические соединения между прикладными процессами, 
причем в каждом соединении участвуют только два процесса. ТСР-соединение является 
дуплексным, то есть каждый из участников этого соединения может одновременно полу- 
чать и отправлять данные. На рис. 15.6 показаны сети, соединенные маршрутизаторами, на 
которых установлен протокол ГР. Установленные на конечных узлах протокольные модули 
ТСР решают задачу обеспечения надежного обмена данными путем установления между 
собой логических соединений. 


Рис. 15.6. ТСР-соединение создает надежный логический канал между конечными узлами 


При установлении логического соединения модули ТСР договариваются между собой 
о параметрах процедуры обмена данными. В протоколе ТСР каждая сторона соединения 
посылает противоположной стороне следующие параметры: 


О максимальный размер сегмента, который она готова принимать; 


О максимальный объем данных (возможно несколько сегментов), которые она разрешает 
другой стороне передавать в свою сторону, даже если та еще не получила квитанцию 
на предыдущую порцию данных (размер окна); 


О начальный порядковый номер байта, с которого она начинает отсчет потока данных 
в рамках данного соединения. 


В результате переговорного процесса модулей ТСР с двух сторон соединения определяются 
параметры соединения. Одни из них остаются постоянными в течение всего сеанса связи, 
другие — адаптивно изменяются. 


Соединение устанавливается по инициативе клиентской части приложения. При необхо- 
димости выполнить обмен данными с серверной частью приложение-клиент обращается 
к нижележащему протоколу ТСР, который в ответ на это обращение посылает сегмент- 
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запрос на установление соединения протоколу ТСР, работающему на стороне сервера 
(рис. 15.7, а). В числе прочего в запросе содержится флаг ЗУМ, установленный в 1. 


ТСР на стороне ТСР на стороне ТСР на стороне ТСР на стороне 
клиента сервера клиента сервера 


Запрос $ Подготовка Закрыть 

соединения УМ соединения соединение 
прошла 
успешно 

Состояние Закрыть 
ЕЗТАВИЗНЕО соединение 
Состояние 
ЕЗТАВИЗНЕО 
Л А Тайм-аут 
{ Соединение { 
закрыто 
а 6 


Рис. 15.7. Процедура установления и разрыва логического соединения 
при нормальном течении процесса 


Получив запрос, модуль ТСР на стороне сервера пытается создать «инфраструкту- 
ру» для обслуживания нового клиента. Он обращается к ОС с просьбой о выделении 
определенных системных ресурсов для организации буферов, таймеров, счетчиков. 
Эти ресурсы закрепляются за соединением с момента создания и до момента разрыва. 
Если на стороне сервера все необходимые ресурсы были получены и все необходимые 
действия выполнены, то модуль ТСР посылает клиенту сегмент с флагами АСК и ЗУМ. 
В ответ клиент посылает сегмент с флагом АСК и переходит в состояние установлен- 
ного логического соединения (состояние ЕЗТАВТ $ НЕО). Получив флаг АСК, сервер 
также переходит в состояние ЕЗТАВЕ $ НЕО. На этом процедура установления со- 
единения заканчивается, и стороны могут переходить к обмену данными. Соединение 
может быть разорвано в любой момент по инициативе любой стороны. Для этого клиент 
и сервер должны обменяться сегментами ЕІМ и АСК в последовательности, показанной 
на рис. 15.7, 6 (здесь инициатором является клиент). Соединение считается закрытым 
по прошествии некоторого времени, в течение которого сторона-инициатор убеждается, 
что ее завершающий сигнал АСК дошел нормально и не вызвал никаких «аварийных» 
сообщений со стороны сервера. 


Логическое ТСР-соединение однозначно идентифицируется парой сокетов, определенных для 
этого соединения двумя взаимодействующими процессами. 
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ПРИМЕЧАНИЕ 


Мы описали процедуры установления и закрытия соединения очень схематично. Реальные прото- 
кольные модули работают в соответствии с более сложными алгоритмами, учитывающими всевоз- 
можные «нештатные» ситуации, такие, например, как задержки и потери сегментов, недостаточность 
ресурсов или неготовность сервера к установлению соединения. Кроме того, мы проигнорировали тот 
факт, что еще на этапе установления соединения стороны договариваются о некоторых параметрах 
своего взаимодействия, например, о начальных номерах посылаемых ими байтов. Вернемся к этим 
важным деталям работы протокола ТСР чуть позже. 


Сокет одновременно может участвовать в нескольких соединениях. Так, на рис. 15.8 пока- 
заны три компьютера (с адресами 1Р1, ІР2, ІРЗ), на каждом из них выполняется по одному 
приложению — АРРІ1, АРР12 и АРРГЗ, сокеты которых соответственно (1Р1, п1), (1Р2, 
п2), ([Р3, пЗ), а номера ТСР-портов приложений — 71, п2, пЗ. 


Соединение 
ых {(1Р2, п2), (1Р1, п1)}_ 2 


— 


- - нан ин 


Рис. 15.8. Один сокет может участвовать в нескольких соединениях 


На рисунке показаны два логических соединения, которые установило приложение 2 
с приложением 1 и приложением З. Логические соединения идентифицируются как {(1Р2, 
п2), (1Р1, п1)} и {(1Р2, п2), (1Р3, п3)} соответственно. Как видим, в обоих соединениях 
участвует один и тот же сокет — (1Р2, п2). Теперь рассмотрим на примере, как протокол 
ТСР выполняет демультиплексирование. Пусть некий поставщик услуг оказывает услугу 
по веб-хостингу, то есть на его компьютере клиенты могут разворачивать свои веб-серверы. 
Работа веб-сервера основана на протоколе прикладного уровня НТТР, который передает 
свои сообщения в ТСР-сегментах. Модуль ТСР ожидает запросы от веб-клиентов (брау- 
зеров), «прослушивая» хорошо известный порт 80. 


На рис. 15.9 показан вариант хостинга с двумя веб-серверами — сервером мммм1 .тоде!.ги, 
имеющим ІР-адрес 1Р1, и сервером милмм2 їоиг.ги с адресом 1Р2. К каждому из них может 
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обращаться множество клиентов, причем клиенты могут одновременно работать как с сер- 
вером ммм1, так и с сервером ммм2. Для каждой пары клиент-сервер протоколом ТСР 
создается отдельное логическое соединение. 


М/И 1 .поде!.ги - 1Р1 Мими 2 1оиг.ги - |Р2 


Соединение 
Соединение браузер К-сервер м/ммм2 
браузер К-сервер МММ, =} (В п), (1Р2, 80) 
{(1В, п, ), (1Р1, 80)} 1 “А19 пк), 
Соединение 
Буферы ` браузер т-сервер ммм2 


“4(ІР,, пт), (1Р2, 80)} 


(ІР, пу) Г (1, Пт) 
ваты 


Браузеры 


Рис. 15.9. Демультиплексирование протокола ТСР на основе соединений 


На рисунке показаны два браузера, имеющие соответственно сокеты (ТРь, п») и (ІР, п»). 
Пользователь браузера А обращается одновременно к серверам МУ\УҮУ1 и МҰ\2. Нали- 
чие отдельных соединений для работы с каждым из этих серверов обеспечивает не только 
надежную доставку, но и разделение информационных потоков — у пользователя никогда 
не возникает вопроса, каким сервером ему была послана та или иная страница. Одновре- 
менно с пользователем браузера А с сервером \/\М/\/2 работает пользователь браузера т. 
И в этом случае отдельные логические соединения, в рамках которых идет работа обоих 
пользователей, позволяют изолировать их информационные потоки. На рисунке показаны 
буферы, количество которых определяется не числом веб-серверов и не числом клиентов, 
а числом логических соединений. Сообщения в эти буферы направляются в зависимости 
от значений сокетов как отправителя, так и получателя. Отсюда — вывод: 


Протокол ТСР осуществляет демультиплексирование информации, поступающей на прикладной 
уровень, на основе соединений процессов или, что одно и то же, на основе идентифицирующих 
эти процессы пар сокетов. 


Методы квитирования 


Один из наиболее естественных приемов, используемых для организации надежного об- 
мена данными, — передача с квитированием, суть которой состоит в следующем. 
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Отправитель отсылает данные, а получатель подтверждает их получение квитанциями. Если от- 
правитель вовремя не получает квитанции на переданные данные, то он передает их повторно. 


При всей простоте сформулированной схемы, за которой закрепилось особое название «за- 
прос повторной передачи» (Ашюотайс Кереаѓ геОцез{, АКО), любая попытка ее реализа- 
ции «обрастает» множеством деталей и вопросов. Например, должен ли отправитель ждать, 
пока не придет квитанция на отправленный пакет!, прежде чем отсылать следующий? 
Должна ли принимающая сторона подтверждать приход каждого или сразу нескольких 
пакетов? Какое время ожидания квитанции источником является предельно допустимым? 
Что, если квитанция потеряется и отправитель еще раз пошлет тот же пакет? Каким об- 
разом приемник должен распознавать дубликаты пакетов, а источник — квитанций? Раз- 
личные протоколы передачи данных с квитированием по-разному отвечают на эти и другие 
вопросы. В результате протоколы отличаются производительностью, надежностью и объ- 
емами потребляемых ресурсов. Все многообразие решений можно разделить на два класса: 


О методы простоя источника (З{ор-ап4-\Ма!); 
О методы скользящего окна, которые свою очередь тоже подразделяются на два класса: 


О методы, использующие окно передачи — к ним, в частности, относится метод пере- 
дачи с возвращением на М пакетов (Со-Васк-№); 


О методы, использующие окно передачи и окно приема — примером является метод 
передачи с выборочным повторением (З@есиуе Кереаї). 


Предполагается, что все эти методы работают в следующих условиях: 


О Отправитель и получатель, в общем случае работающие асинхронно, осуществляют 
передачу пакетов по ненадежной линии связи, в которой возможны искажения, большие 
задержки и потери пакетов. 


Ц Отправитель принимает данные от протокола верхнего уровня (приложения), полу- 
чатель передает полученные данные на верхний уровень (приложению). 


Ц Получатель располагает механизмом определения искаженных пакетов, например, по 
контрольной сумме. 


О После успешного получения пакета получатель посылает отправителю квитанции 
(аскпо\едётепе, АСК). 


Ц Для отслеживания задержек пакетов используется таймер, тайм-аут которого устанав- 
ливается равным предельному времени ожидания квитанции. 


Метод простоя источника 


В методе простоя источника отправитель передает последовательность ненумерованных 
пакетов. Метод требует, чтобы отправитель дожидался от получателя квитанции и только после 
этого посылал следующий пакет, 


1 В данном случае не имеет значения, какое название используется для единицы передаваемых дан- 
ных — кадр, пакет или сообщение. 
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С переданным пакетом отправитель связывает таймер. Если в течение тайм-аута квитанция 
не пришла, то пакет (или квитанция на него) считается утерянным или искаженным и его 
передача повторяется. На рис. 15.10 показано, что второй пакет (здесь пакеты нумеруются 
только для нашего удобства, отправитель и получатель не имеют дела с номерами) от- 
сылается только после того, как пришла квитанция, подтверждающая доставку первого 
пакета. Однако затем произошла длительная пауза в отправке очередного третьего пакета. 
В течение этой паузы источник, не дождавшись квитанции, которая была утеряна, послал 
повторно пакет 2, в результате получатель теперь имеет и оригинальный пакет 2, и его 
дубликат. Понятно, что при таком алгоритме работы принимающая сторона должна уметь 
распознавать дублированные пакеты и отбрасывать их. 


Повторная 
передача 
пакета 2 


Отправленные Простой 
пакеты на Ожидание Простой 


стороне квитанции Истечение тайм-аута 
отправителя 


Простой Простой 
Ожидание Ожидание 
квитанции квитанции 


Полученные 
квитанции, | 
АСК | 


Полученные 
пакеты 

на стороне 
приемника 


Время доставки 
квитанции от получателя 


Время доставки к отправителю пакета 


пакета от отправителя 
к получателю 


Рис. 15.10. Метод простоя источника 


Если первая квитанция не была утеряна, а просто шла к отправителю слишком долго, то 
возможна коллизия с приходом в источник двух квитанций на пакет-оригинал и пакет- 
дубль. Вторую квитанцию отправитель может интерпретировать как квитанцию на полу- 
чение следующего по порядку пакета. Таким образом, отправитель также должен иметь 
возможность распознавать дубликаты квитанций. 


Частичное решение задачи распознавания дубликатов может быть достигнуто за счет 
включения в заголовок пакета специального бита. Этот бит устанавливается отправителем 
так, что нуль и единица в качестве его значения чередуются в пределах всей последователь- 
ности отправляемых пакетов. Приемник проверяет значение бита: если у двух последова- 
тельно пришедших пакетов значения данного бита равны двум единицам или двум нулям, 
то эти пакеты считаются дубликатами. Аналогично поступает отправитель с квитанциями. 
Такой способ распознавания дубликатов не является абсолютно надежным, поскольку 
основывается на предположении о том, что вероятность прихода в приемник дубликатов 
друг за другом достаточно высока. Очевидно и то, что данный метод ведет к очень низко- 
му коэффициенту использования линии связи — ведь основную часть времени передатчик 
простаивает в ожидании прихода квитанции. 
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Концепция скользящего окна 


Концепция скользящего окна (5119 міпаом) заключается в том, что для повышения скорости 
передачи данных отправителю разрешается передать некоторое количество пакетов, не дожи- 
даясь прихода на эти пакеты квитанций. 


Так как в этом методе одновременно могут существовать несколько неподтвержденных 
пакетов, то их необходимо каким-то образом различать, чтобы отправитель мог понять, 
получение какого пакета подтверждает квитанция. Для идентификации пакетам при- 
сваиваются уникальные последовательные номера, размещаемые в заголовках пакетов. 
Разрядность поля «номер пакета» определяет диапазон возможных номеров. Когда этот 
диапазон исчерпывается, нумерация пакетов снова начинается с нуля. Таким образом, 
нельзя абсолютно исключить ситуацию, когда в сети существуют пакеты с одинаковыми 
номерами (позже мы еще вернемся к этому вопросу). Окно определяется на последова- 
тельности пронумерованных пакетов (рис. 15.11). Окно всегда имеет нижнюю границу, 
называемую также базой окна (здесь это пакет с номером 9), и верхнюю границу (14). 
Количество номеров, попадающих в пределы окна, называют размером окна (6). Очевидно, 
что окно всегда перемещается в сторону больших номеров. 


Пакеты, Пакеты, 
которые можно передавать которые нельзя передавать 
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Рис. 15.11. Окно передачи 


Окно, показанное на рисунке, регулирует процесс передачи — оно ограничивает количество 
пакетов, которые отправитель может передать до получения квитанции. Окно может быть 
определено не только для передачи, но и для приема пакетов (в таком случае ограничива- 
ется количество пакетов, которые получатель может принять, не передавая их на верхний 
уровень). 


ПРИМЕЧАНИЕ 


Может возникнуть вопрос, зачем вообще нужно это ограничение и почему нельзя разрешить отпра- 
вителю передавать произвольное количество пакетов? Дело в том, что сняв ограничение и позволив 
тем самым существовать в сети большому количеству искаженных, потерявшихся и не получивших 
подтверждения пакетов, мы сделаем процесс передачи неконтролируемым, в результате, например, 
для хранения таких пакетов потребуется буфер неограниченных размеров. 
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На рис. 15.12 показана идеализированная схема «скольжения» окна передачи. В этом при- 
мере предполагается, что пакеты и квитанции не теряются и приходят в том же порядке, 
в котором были отправлены. При этом интервалы между пакетами и квитанциями являют- 
ся неравномерными. Движение окна определяется, во-первых, поступлением квитанций — 
подтверждение успешного приема очередного пакета позволяет переместить окно вперед, 
во-вторых, исчерпанием окна — окно приостанавливается, когда отправитель передал все 
пакеты из окна, но не получил ни на один из них квитанции. 


Диапазон номеров пакетов, 
разрешенных к отправке 
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Полученные пакеты 
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Рис. 15.12. Метод скользящего окна 


Здесь последовательность номеров пакетов отображается на оси ординат, а значит, окно 
скользит вдоль вертикали. Окно имеет размер 5. В начальный момент, когда еще не послано 
ни одного пакета, окно определяет диапазон номеров пакетов от 1 до 5 включительно. Ис- 
точник начинает передавать пакеты и через какое-то время получает в ответ квитанции. 
Для простоты предположим, что квитанции поступают в той же последовательности (но 
не обязательно в том же темпе), что и пакеты, которым они соответствуют. В момент полу- 
чения отправителем квитанции 1 окно сдвигается на одну позицию вверх, определяя новый 
диапазон разрешенных к отправке пакетов (от 2 до 6). 


Процессы отправки пакетов и получения квитанций идут независимо друг от друга. В на- 
шем примере отправитель продолжает передавать пакеты, но некоторое время не получает 
на них квитанции. После передачи пакета 6 окно исчерпывается, и источник приостанавли- 
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вает передачу. После получения квитанции 2 (на пакет 2) окно сдвигается вверх на единицу, 
определяя диапазон разрешенных к передаче пакетов от 3 до 7. Аналогичное «скольжение» 
окна вверх происходит после получения каждой квитанции: окно сдвигается вверх на 1, 
но его размер при этом не меняется. После прихода квитанции 8 окно оказывается в диа- 
пазоне от 9 до 13 и остается таковым достаточно долго, так как по каким-то причинам 
источник перестает получать подтверждения о доставке пакетов. Отправив последний 
разрешенный пакет 13, передатчик снова прекращает передачу с тем, чтобы возобновить 
ее после прихода квитанции 9. 


Теперь, когда мы познакомились с концепцией скользящего окна, рассмотрим методы 
передачи, построенные на ее основе. 


Передача с возвращением на М пакетов 


В данном методе ставится задача обеспечить более эффективное использование линии 
связи, чем в методе с простоем источника. Для этого отправителю разрешается отправ- 
лять следующие пакеты, не дожидаясь подтверждения получателем их успешного при- 
ема. Количество переданных таким образом пакетов ограничивается окном. Поскольку 
отправитель должен иметь возможность при необходимости повторить передачу любого 
из переданных пакетов, их необходимо буферизовать. Кроме того, отправитель должен 
отслеживать статус пакетов (отправлен/не отправлен, подтвержден/не подтвержден). На 
рис. 15.13 показано положение окна передачи в некоторый момент времени. Базой окна 
в данном случае является номер 7, а верхней границей — номер 17. Все пакеты с номерами 
в этом диапазоне отправитель вправе передавать независимо от поступления квитанций. 
С левой стороны окна находятся более «старые» пакеты (1-6), которые были переданы 
и подтверждены. Пакеты (18-22) справа от окна в данный момент передавать запрещено. 


Переданные и под- Переданные, но не Пакеты, которые Пакеты, которые 
твержденные пакеты подтвержденные пакеты можно передавать нельзя передавать 
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Рис. 15.13. Окно передачи в методе с возвратом на М пакетов 


В пределах окна имеются как уже отправленные, но не подтвержденные пакеты (7-12), 
так и не отправленные пакеты, которые разрешено отправлять (13-17). Как только самый 
«старый» пакет в окне (7) получит подтверждение успешного приема, окно сдвинется на- 
право на единицу. 


Рассмотрим алгоритм работы получателя. При поступлении нового пакета получатель 
всегда выполняет одни и те же действия, проверяя: 
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(Ц является ли пакет неискаженным, 
О является ли он следующим по порядку в последовательности уже полученных пакетов. 


Если оба условия выполнены, то пакет принимается и передается на более высокий уро- 
вень (размер окна приема в этом методе равен 1), а отправителю посылается квитанция, 
в которой указывается номер успешно принятого пакета. Если же хотя бы одно из этих 
условий не выполнено, то пакет отбрасывается, а отправителю снова посылается квитан- 
ция с номером последнего по времени успешно принятого пакета. 


Отметим очень важный момент: в том случае, когда получатель принимает и подтвержда- 
ет прием пакетов в строгом соответствии с их порядковыми номерами (а именно с такой 
ситуацией мы и имеем дело), квитанция о любом принятом пакете говорит и о том, что 
все предыдущие пакеты также были приняты успешно. Такого рода квитанции называют 
кумулятивными, или накопительными. Другими словами, нет необходимости дублировать 
потерянную кумулятивную квитанцию, потому что она компенсируется приходом следу- 
ющей квитанции, также являющейся кумулятивной. 


Теперь посмотрим на алгоритм работы отправителя, использующего один таймер, зна- 
чение тайм-аута которого устанавливается равным предельному времени ожидания кви- 
танции, отправленной получателем для подтверждения успешности доставки и приема 
базового пакета окна. На процесс передачи пакетов влияют следующие события: 


О Исчерпание окна — ситуация, когда все пакеты из окна отправлены, но не подтверждены. 
В этом случае передача останавливается. 


О Истечение тайм-аута — это событие интерпретируется отправителем как потеря па- 
кета или квитанции, а значит, выполняется повторная передача базового пакета и для 
него заново устанавливается таймер. При этом, подчеркнем, повторно передается не 
только этот пакет, но и все переданные, но неподтвержденные пакеты. Именно такая 
реакция на недоставленный пакет и дала методу название «возвращение на М пакетов». 
Повторная передача всех неподтвержденных пакетов нужна, так как даже если при- 
емник и получил их, он их отбросил, поскольку они не образовывали непрерывную 
последовательность пакетов. 


О Поступление квитанции. Соответствующий пакет и все пакеты в пределах окна с мень- 
шими номерами считаются успешно принятыми (учитывается кумулятивность кви- 
танции). Окно сдвигается, фиксируется новый базовый пакет, переустанавливается 
таймер. Если до этого передача была остановлена из-за исчерпания окна, то передача 
возобновляется. 


Если квитанция на базовый пакет пришла после истечения его тайм-аута, а значит, 
и после его повторной передачи, то эта квитанция «засчитывается» и выполняются все 
действия, определенные для этого случая. 


Зная алгоритм работы отправителя, можно легко предсказать, что произойдет с преждев- 
ременно пришедшим и поэтому отброшенным пакетом: либо истечет тайм-аут для одного 
из предшествующих пакетов и он вместе со всеми остальными будет передан повторно, 
либо сам этот пакет станет базовым и после непременного истечения его тайм-аута (он 
ведь был отброшен) произойдет его повторная передача. 


Подводя итог, отметим, что алгоритм работы получателя в этом методе существенно проще, 
чем отправителя. Получатель не использует окно, а следовательно, не нуждается в буфери- 
зации пакетов и отслеживании их статуса. От получателя требуется только распознавать 
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ошибочные пакеты и отслеживать последовательность их номеров. Эффективность данного 
метода выше по сравнению с методом простоя источника за счет передачи в линию связи 
сразу нескольких пакетов. Но для него характерна избыточность: во-первых, получатель 
отбрасывает не только искаженный, но и корректно принятый пакет, если его номер вы- 
бивается из последовательности, а во-вторых, отправитель повторно передает не только 
потерянный или искаженный пакет, но и пакеты, отправленные после него. 


Передача с выборочным повторением 


В данном методе, как это следует из его названия, получатель может выборочно запросить 
повторную передачу отдельного пакета, а не всей последовательности переданных пакетов, 
как это происходит при передаче с возвращением на М пакетов. 


Во избежание избыточных повторных передач принимающей стороне запрещено отбра- 
сывать правильно принятый пакет лишь потому, что его номер выбивается из последова- 
тельности. А это значит, что данный пакет, как и другие нарушающие последовательность 
пакеты, получатель должен где-то временно сохранять. Для этого организуется буфер, 
в котором хранятся и упорядочиваются прибывающие пакеты в соответствии с их номе- 
рами. Согласно поставленной задаче выборочного повторения ошибочных пакетов, вы- 
борочными (индивидуальными) должны быть и квитанции, позволяющие подтверждать 
успешность приема каждого отдельного пакета, и таймеры, замеряющие тайм-аут для 
каждого отправленного пакета!. В данном методе концепция скользящего окна исполь- 
зуется как для передачи, так и для приема пакетов. Оба окна определены на одной и той 
же последовательности номеров пакетов, размеры окон одинаковы. Но их «скольжение» 
не является синхронным. В зависимости от возникающих ошибок при передаче пакетов 
и квитанций окно приема может «опережать» окно передачи. Отправитель и получатель 
работают только с пакетами, находящимися в пределах окна передачи и окна приема со- 
ответственно. На рис. 15.14 показано положение окон передачи и приема в некоторый 
момент времени. 


Отправитель уже передал принятые от верхнего уровня пакеты 1-6, получил на них кви- 
танции и ждет квитанцию на переданный пакет с номером 7. А получатель собрал и пере- 
дал своему верхнему уровню непрерывную последовательность пакетов 1-8, но все еще 
не получил пакет 9. Окно передачи в данный момент позиционируется между базовым 
пакетом 7 и граничным пакетом 17, а окно приема — в границах 9-19. Все пакеты с номера- 
ми, попадающими в окна, отправитель имеет право передавать, а получатель — принимать 
независимо от поступления квитанций. 


Поскольку в этом методе квитанция является индивидуальной, а не накопительной, то 
в окне передачи среди переданных пакетов могут быть как подтвержденные (8, 9, 11), 
так и неподтвержденные (7, 10, 12). Номера из окна приема в общем случае могут соот- 
ветствовать: 


О принятым и подтвержденным пакетам (10, 11, 13), которые не могут быть переданы 
из буфера верхнему уровню, так как в их последовательность «вклинились» номера 
некоторых отсутствующих пакетов (9, 12); 


1 Обычно в протоколах используется множество программных таймеров, построенных на основе 
одного аппаратного. 
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О ожидаемым, еще не полученным пакетам (9, 12); 


О пакетам, которые получателю разрешено принимать (14-19), так как их номера по- 


падают в окно приема. 


Переданные и под- Переданные, но не Пакеты, которые Пакеты, которые 
твержденные пакеты подтвержденные пакеты можно передавать нельзя передавать 
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Рис. 15.14. Окна передачи и приема при выборочном повторении 


Получатель принимает, размещает в буфере и подтверждает квитанцией любой принятый 
пакет при условии, что он не искажен и его номер попадает в окно приема. Если принят 
базовый пакет, то левая граница окна приема сдвигается до первого ожидаемого, но еще не 
полученного пакета. На рисунке базовым является пакет 9. Когда он будет успешно принят, 
пробел с недостающим пакетом заполнится, окно сдвинется, и новым базовым пакетом 
станет пакет 12. Выдвинувшаяся за границу окна приема непрерывная последовательность 
пакетов 9, 10, 11 тогда может быть передана верхнему уровню. На работе отправителя 
сказываются следующие события: 


О 


Ч 


Исчерпание окна. Отправитель последовательно посылает пакеты до тех пор, пока не 
исчерпается окно передачи. 


Приход квитанции. Отправитель, получив квитанцию, присваивает пакету статус 
успешно переданного. Если это был базовый пакет (например, на рисунке — пакет 7), 
то окно смещается вправо до первого по порядку принятого, но неподтвержденного 
пакета, который становится базой (на рисунке — пакет 10). 


Истечение тайм-аута. 'Таймер устанавливается для каждого пакета отдельно, по исте- 
чении тайм-аута соответствующий пакет повторяют. Таким образом, пакет повторяют, 
только если он был потерян или искажен. 
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Возможна и ситуация, в которой пакет благополучно был принят, но квитанция на него 
потерялась. Тогда к получателю придет дубликат пакета. Получатель не должен его иг- 
норировать — ему следует подтвердить квитанцией прием дубликата, иначе отправитель 
«застрянет» на этом пакете, бесконечно повторяя его. 


Подводя итог, можно отметить, что методы, использующие скользящее окно, сложнее в ре- 
ализации, чем метод простоя источника, так как в первом случае требуется поддержание 
буфера (или буферов в случае выборочной передачи), отслеживание номеров и статуса 
пакетов, а также определение по меньшей мере двух важных параметров алгоритма: размер 
окна и величина тайм-аута. 


Метод скользящего окна в протоколе ТСР 


Сегменты и поток байтов 


Алгоритм скользящего окна в протоколе ТСР имеет некоторые существенные особенности. 
Так, в рассмотренном обобщенном алгоритме скользящего окна единицей передаваемых 
данных является пакет, и размер окна также определяется в кадрах, в то время как в про- 
токоле ТСР дело обстоит совсем по-другому. 


Хотя единицей передаваемых данных протокола ТСР является сегмент (аналог кадра в данном 
контексте), окно определено на множестве нумерованных байтов неструктурированного потока 
данных, передаваемого приложением протоколу ТСР. 


В ходе переговорного процесса модули ТСР обоих участвующих в обмене сторон догова- 
риваются между собой о параметрах процедуры обмена данными. Одни из них остаются 
постоянными в течение всего сеанса связи, другие — в зависимости, например, от интен- 
сивности трафика и/или размеров буферов — адаптивно изменяются. Одним из таких 
параметров является начальный номер байта, с которого будет вестись отсчет в течение 
всего функционирования данного соединения. У каждой стороны — свой начальный номер. 
Нумерация байтов в пределах сегмента осуществляется, начиная от заголовка (рис. 15.15). 


ТСР-сегмент 


ИРЛИ: ЗНС ИВС 


Байт Байт 
с конечным с начальным 
номером номером 


Рис. 15.15. Нумерация байтов в ТСР-сегменте 


Когда отправитель посылает ТСР-сегмент, он помещает в поле последовательного номера 
номер первого байта данного сегмента, который служит идентификатором сегмента. На 
рис. 15.16 показано четыре сегмента размером 1460 байт и один — размером 870 байт. Иден- 
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тификаторами этих сегментов являются номера 32600, 34060, 35520 и т. д. На основании 
этих номеров получатель ТСР-сегмента не только отличает данный сегмент от других, но 
и позиционирует полученный фрагмент относительно общего потока байтов. Кроме того, 
он может сделать вывод, например, о том, что полученный сегмент является дубликатом 
или что между двумя полученными сегментами пропущены данные ит. д. 


37850 36390 35520 34060 32600 


оо [в | ао | аво | во | 


Направление передачи сегментов 


Рис. 15.16. Порядковый номер и номер квитанции 


В качестве квитанции получатель сегмента отсылает ответное сообщение (сегмент), в поле 
подтвержденного номера которого он помещает число, на единицу превышающее макси- 
мальный номер байта в полученном сегменте. Так, для первого отправленного сегмента, 
изображенного на рисунке, квитанцией о получении (подтвержденным номером) будет 
число 34060, для второго — 35520 ит. д. Подтвержденный номер часто интерпретируют не 
только как оповещение о благополучной доставке, но и как номер следующего ожидаемого 
байта данных. Квитанция в протоколе ТСР посылается только в случае правильного при- 
ема данных. Таким образом, отсутствие квитанции означает либо потерю сегмента, либо 
потерю квитанции, либо прием искаженного сегмента. В соответствии с определенным 
форматом один и тот же ТСР-сегмент может нести в себе как пользовательские данные 
(в поле данных), так и квитанцию (в заголовке), которой подтверждается получение дан- 
ных от другой стороны. 


Система буферов при дуплексной передаче 


Поскольку протокол ТСР является дуплексным, каждая сторона одновременно выступает 
и как отправитель, и как получатель. У каждой стороны есть пара буферов: один — для 
хранения принятых сегментов, другой — для сегментов, которые только еще предстоит 
отправить. Кроме того, имеется буфер для хранения копий сегментов, которые были от- 
правлены, но квитанции о получении которых еще не поступили (рис. 15.17). 


И при установлении соединения, и в ходе передачи обе стороны, выступая в роли получа- 
теля, посылают друг другу окна приема. Каждая из сторон, получив окно приема, «узнает», 
сколько байтов ей разрешается отправить с момента получения последней квитанции. То 
есть, посылая окна приема, обе стороны пытаются регулировать поток байтов в свою сторо- 
ну, сообщая своему «визави», какое количество байтов (начиная с номера байта, о котором 
уже была выслана квитанция) они готовы в настоящий момент принять. На рис. 15.18 по- 
казан поток байтов, поступающий от приложения в выходной буфер модуля ТСР. 


Из потока байтов модуль ТСР «нарезает» последовательность сегментов и поочередно 

отправляет их приложению-получателю. Для ясности на рисунке принято направление 

перемещения данных справа налево. В этом потоке можно указать несколько логических 

границ: 

О Первая граница отделяет сегменты, которые уже были отправлены и на которые уже 
пришли квитанции. Последняя квитанция пришла на байт с номером М. 
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О По другую сторону этой границы располагается окно размером У байт. Часть байтов, 
входящих в окно, составляют сегменты, которые также уже отправлены, но квитанции 
на которые пока не получены. 


Ц Оставшаяся часть окна — это сегменты, которые пока не отправлены, но могут быть 
отправлены, Так как входят в пределы окна. 


ОИ наконец, последняя граница указывает на начало последовательности сегментов, ни 
один из которых не может быть отправлен до тех пор, пока не придет очередная кви- 
танция и окно не будет сдвинуто вправо. 


(1Р1, п1) 


ТСР-соединение 


Буфер отправления 


Буфер приема 
1—— ЖИЕ 
Буфер копий ОКНО 


Буфер приема 


ВИНЫ < Ш 


Буфер отправления 


ВЕБЕ ВЕ 


Окно . 
Буфер копий 


Рис. 15.17. Система буферов ТСР-соединения 


Направление движения окна 


Размер окна — М Байт М + М 


Приложение 
гааг 


Сегменты Сегменты ' Сегменты, Сегменты, 
отправлены, ‚ отправлены, ‚ которые которые еще 
квитанции ° квитанции пока ‘ разрешено не разрешено 
получены не получены отправлять отправлять 


Направление передачи данных из источника к приемнику 


а 


Рис. 15.18. Особенности реализации алгоритма скользящего окна в протоколе ТСР 
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Накопительный принцип квитирования 


Если размер окна равен №, а последняя по времени квитанция содержала значение №, 
то отправитель может посылать новые сегменты до тех пор, пока в очередной сегмент 
не попадет байт с номером М + №. Этот сегмент выходит за рамки окна, и передачу в та- 
ком случае необходимо приостановить до прихода следующей квитанции. Получатель 
может послать квитанцию, подтверждающую получение сразу нескольких сегментов, 
если они образуют непрерывный поток байтов. Например (рис. 15.19, а), если в буфер, 
плотно, без пропусков заполненный потоком байтов до 2354 включительно, поочередно 
поступили сегменты (2355-3816), (3817-5275) и (5276-8400), где цифры в скобках оз- 
начают номера первых и последних байтов каждого сегмента, то получателю достаточно 
отправить только одну квитанцию на все три сегмента, указав в ней в качестве номера 
квитанции значение 8401. Таким образом, процесс квитирования в ТСР является на- 
копительным. 


Передача квитанции 
на получение байта 8401 


2354 2355 3816 3817 5275 5276 8400 


И 2 Є 44 Броя 


Я Передача квитанции 
на получение байта 8401 


2354 2355 3816 3817 5275 5276 8400 10567 12430 . 


и {2 {3 {4 {5 
6 Время { 


Рис. 15.19. Накопительный принцип квитирования: а — плотное заполнение буфера 
(в момент 14 передается квитанция на байт 8401), б — неплотное заполнение буфера 
(в момент 45 снова передается квитанция на байт 8401) 


Вполне возможны ситуации, когда сегменты приходят к получателю не в том порядке, 
в котором были посланы, то есть в приемном буфере может образоваться «прогалина» 
(рис. 15.19, 6). Пусть, к примеру, после указанных ранее трех сегментов вместо следу- 
ющего по порядку сегмента (8401-10566) пришел сегмент (10567-12430). Очевидно, 
что послать в качестве номера квитанции значение 12431 нельзя, потому что это оз- 
начало бы, что получены все байты вплоть до 12430. Поскольку в потоке байтов обра- 
зовался разрыв, получатель может только еще раз повторить квитанцию 8401, говоря 
тем самым, что все еще ожидает поступления потока байтов, начиная с 8401, то есть 
подтверждает получение не отдельных блоков данных, а непрерывной последователь- 
ности байтов. 


Когда протокол ТСР передает в сеть сегмент, он «на всякий случай» помещает его копию 
в буфер, называемый также очередью повторной передачи, и запускает таймер. Когда при- 
ходит квитанция на этот сегмент, соответствующая копия удаляется из очереди. Если же 
квитанция не приходит до истечения срока, то сегмент, вернее, его копия, посылается по- 
вторно. Может случиться и так, что копия сегмента придет тогда, когда исходный сегмент 
уже окажется на месте — тогда дубликат попросту отбрасывается. 
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Параметры управления потоком в ТСР 


Какой размер окна должен назначить источник приемнику и наоборот? Точнее, каким на 
каждой из сторон должно быть выбрано время ожидания (тайм-аут) очередной квитан- 
ции? От ответа на этот вопрос зависит производительность протокола ТСР. При выборе 
величины тайм-аута должны учитываться скорость и надежность линий связи, их про- 
тяженность и многие другие факторы. Тайм-аут не должен быть слишком коротким, чтобы, 
по возможности исключить избыточные повторные передачи, снижающие полезную про- 
пускную способность системы, но он не должен быть и слишком длинным, чтобы избежать 
длительных простоев, связанных с ожиданием несуществующей или «заблудившейся» 
квитанции. 


В протоколе ТСР тайм-аут определяется с помощью достаточно сложного адаптивного 
алгоритма, идея которого состоит в следующем. При каждой передаче засекается время от 
момента отправки сегмента до прихода квитанции о его приеме (время оборота). Получае- 
мые значения времени оборота усредняются с весовыми коэффициентами, возрастающими 
от предыдущего замера к последующему. Это делается с тем, чтобы усилить влияние по- 
следних замеров. В качестве тайм-аута выбирается среднее время оборота, умноженное на 
некоторый коэффициент. Практика показывает, что значение этого коэффициента должно 
превышать 2. В сетях с большим разбросом времени оборота при выборе тайм-аута учиты- 
вается также дисперсия этой величины. 


Размер окна приема связан с наличием в данный момент места в буфере данных у принима- 
ющей стороны. Поэтому в общем случае окна приема на разных концах соединения имеют 
разный размер. Например, можно ожидать, что сервер, вероятно обладающий большим 
буфером, пошлет клиентской станции окно приема большее, чем клиент серверу. В зависи- 
мости от состояния сети то одна, то другая стороны могут объявлять новые значения окон 
приема, динамически уменьшая и увеличивая их. Варьируя величину окна, можно влиять 
на загрузку сети. Чем больше окно, тем ббльшая порция неподтвержденных данных может 
быть послана в сеть. Но если пришло большее количество данных, чем может быть принято 
модулем ТСР, то данные отбрасываются. Это ведет к излишним пересылкам информации 
и ненужному росту нагрузки на сеть и модуль ТСР. 


В то же время окно малого размера может ограничить передачу данных скоростью, которая 
определяется временем путешествия по сети каждого посылаемого сегмента. Чтобы из- 
бежать применения малых окон, в некоторых реализациях ТСР предлагается получателю 
данных откладывать реальное изменение размеров окна до тех пор, пока свободное место 
не составит 20—40 % от максимально возможного объема памяти для этого соединения. Но 
и отправителю не стоит спешить с посылкой данных, пока окно принимающей стороны 
не станет достаточно большим. Учитывая эти соображения, разработчики протокола ТСР 
предложили схему, согласно которой при установлении соединения заявляется большое 
окно, но впоследствии его размер существенно уменьшается. Существуют и другие прямо 
противоположные алгоритмы настройки окна, когда вначале выбирается минимальное 
окно, а затем, если сеть справляется с предложенной нагрузкой, его размер резко увели- 
чивается. 


Управлять размером окна приема может не только та сторона, которая посылает это окно, 
чтобы регулировать поток данных в свою сторону, но и вторая сторона — потенциальный 
отправитель данных. Если вторая сторона фиксирует ненадежную работу линии связи 
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(регулярно запаздывают квитанции, часто требуется повторная передача), то она может по 
собственной инициативе уменьшить окно. В таких случаях действует правило: в качестве 
действующего размера окна выбирается минимальное из двух значений: значения, диктуе- 
мого приемной стороной, и значения, определяемого «на месте» отправителем. 


Признаком перегрузки ТСР-соединения является возникновение очередей на промежу- 
точных узлах (маршрутизаторах) и на конечных узлах (компьютерах). При переполнении 
приемного буфера конечного узла «перегруженный» модуль ТСР, отправляя квитанцию, 
помещает в нее новый уменьшенный размер окна. Если он совсем отказывается от приема, 
то в квитанции указывается окно нулевого размера. Однако даже после этого приложение 
может послать сообщение на отказавшийся от приема порт. Для этого сообщение должно 
сопровождаться указателем срочности. В такой ситуации порт обязан принять сегмент, 
даже если для этого придется вытеснить из буфера уже находящиеся там данные. После 
приема квитанции с нулевым значением окна протокол-отправитель время от времени 
делает контрольные попытки продолжить обмен данными. Если протокол-приемник уже 
готов принимать информацию, то в ответ на контрольный запрос он посылает квитанцию 
с указанием ненулевого размера окна. 


Как видно из далеко не полного описания двух протоколов транспортного уровня стека 
ТСР/ЛІР на один из них — ТСР — возложена сложная и очень важная задача обеспечения 
надежной передачи данных через ненадежную сеть. 


В то же время функциональная простота протокола ОРЮР обусловливает простоту алгорит- 
маего работы, компактность и быстродействие. Поэтому те приложения, в которых реали- 
зован собственный достаточно надежный механизм обмена сообщениями, основанный на 
установлении соединения, предпочитают для непосредственной передачи данных по сети 
использовать менее надежные, но более быстрые средства транспортировки, в качестве 
которых по отношению к протоколу ТСР и выступает протокол ОРЮР. Протокол ОРЮР мо- 
жет применяться и тогда, когда хорошее качество линий связи обеспечивает достаточный 
уровень надежности и без применения дополнительных приемов наподобие установления 
логического соединения и квитирования передаваемых пакетов. Заметим также, что по- 
скольку протокол ТСР основан на логических соединениях, он, в отличие от протокола 
ОРР не годится для широковещательной и групповой рассылки. 


ГЛАВА 16 Протоколы 
маршрутизации 
и технология ОМ 


Общие свойства и классификация 
протоколов маршрутизации 


Протоколы маршрутизации обеспечивают поиск и фиксацию маршрутов продвижения 
данных через составную сеть ТСР/ТР. 


Наиболее простые из них используют такие способы продвижения пакетов, которые во- 
обще не требуют наличия таблии маршрутизации на маршрутизаторах. Например, метод 
лавинной маршрутизации заключается в том, что каждый маршрутизатор передает пакет 
всем своим непосредственным соседям, исключая тот, от которого его получил. Понятно, 
что это не самый рациональный способ, так как пропускная способность сети использует- 
ся крайне расточительно. Тем не менее такой подход работоспособен (именно так мосты 
и коммутаторы локальных сетей поступают с кадрами, имеющими неизвестные адреса). 


Еще одним видом маршрутизации, не требующим наличия таблиц маршрутизации, явля- 
ется маршрутизация от источника (ѕоигсе гоийп8). В этом случае отправитель помещает 
в пакет информацию о том, какие промежуточные маршрутизаторы должны участвовать 
в передаче пакета к сети назначения. На основе этой информации каждый маршрутизатор 
считывает адрес следующего маршрутизатора, и если он действительно является адресом 
его непосредственного соседа, то передает ему пакет для дальнейшей обработки. Вопрос 
о том, как отправитель узнает точный маршрут следования пакета через сеть, остается 
открытым. Маршрут может задавать либо вручную администратор, либо автоматиче- 
ски узел-отправитель, но в этом случае ему нужно поддерживать какой-либо протокол 
маршрутизации, который сообщит ему о топологии и состоянии сети. Маршрутизация от 
источника была опробована на этапе зарождения Интернета и сохранилась как практиче- 
ски неиспользуемая возможность протокола 1Ру4. В ТРуб маршрутизация от источника 
является одним из стандартных режимов продвижения пакетов. 


Тем не менее большинство протоколов маршрутизации нацелено на создание таблиц 
маршрутизации. Выбор рационального маршрута может осуществляться на основании раз- 
личных критериев. Сегодня в [Р-сетях применяются протоколы маршрутизации, в которых 
маршрут выбирается по критерию кратчайшего расстояния. При этом расстояние измеря- 
ется в различных метриках. Чаще всего используется простейшая метрика — количество 
хопов, то есть количество маршрутизаторов, которые нужно преодолеть пакету до сети 
назначения. В качестве метрик применяются также пропускная способность и надежность 
каналов, вносимые ими задержки и любые комбинации этих метрик. 
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Задачей протоколов маршрутизации является создание на всех маршрутизаторах согла- 
сованных друг с другом таблиц маршрутизации, то есть таких таблиц, которые обеспечат 
доставку пакета от исходной сети в сеть назначения за конечное число шагов. 


Различают протоколы, выполняющие статическую и адаптивную (динамическую) марш- 
рутизацию. 


При статической маршрутизации все записи в таблице имеют неизменяемый, статический 
статус, что подразумевает бесконечный срок их жизни. Записи о маршрутах составляют- 
ся и вводятся в память каждого маршрутизатора вручную администратором сети. При 
изменении состояния сети администратору необходимо срочно отразить эти изменения 
в соответствующих таблицах маршрутизации, иначе может произойти их рассогласование 
и сеть будет работать некорректно. 


При адаптивной маршрутизации все изменения конфигурации сети автоматически 
отражаются в таблицах маршрутизации благодаря протоколам маршрутизации. Эти 
протоколы собирают информацию о топологии связей в сети, что позволяет им опера- 
тивно отражать все текущие изменения. В таблицах маршрутизации при адаптивной 
маршрутизации обычно имеется информация об интервале времени, в течение которо- 
го данный маршрут будет оставаться действительным. Это время называют временем 
жизни (ТТІ) маршрута. Если по истечении времени жизни существование маршрута не 
подтверждается протоколом маршрутизации, то он считается нерабочим, и пакеты по 
нему больше не посылаются. Протоколы адаптивной маршрутизации бывают распреде- 
ленными и централизованными. При распределенном подходе все маршрутизаторы сети 
находятся в равных условиях, они находят маршруты и строят собственные таблицы 
маршрутизации, работая в тесной кооперации друг с другом, постоянно обмениваясь 
информацией о конфигурации сети. При централизованном подходе в сети существует 
один выделенный маршрутизатор, собирающий всю информацию о топологии и состо- 
янии сети от других маршрутизаторов. На основании этих данных выделенный марш- 
рутизатор (иногда называемый сервером маршрутов) строит таблицы маршрутизации 
для остальных маршрутизаторов сети, распространяя их затем по сети, чтобы каждый 
маршрутизатор получил собственную таблицу и в дальнейшем самостоятельно принимал 
решение о продвижении каждого пакета. 


Централизованный подход порождает более рациональные маршруты потоков, чем 
распределенный, так как решения принимаются на основе полной и непротиворечивой 
информации о топологии связей сети. Но его недостатком является плохая масштабируе- 
мость. Из-за этого недостатка в Интернете доминировали и продолжают доминировать 
децентрализованные протоколы маршрутизации, но их решения не всегда дают такие 
же рациональные маршруты, как решения центрального элемента, так как они основаны 
на информации, полученной из третьих рук — от своих соседей, которые в свою очередь 
получили ее от своих соседей. 


Еще одним недостатком распределенных протоколов маршрутизации является существо- 
вание периодов нестабильной работы сети, вызванной временной несогласованностью 
таблиц разных маршрутизаторов. Распределенному протоколу маршрутизации обычно 
нужно некоторое время — время конвергенции, чтобы после нескольких итераций обмена 
служебной информацией все маршрутизаторы сети внесли изменения в свои таблицы, 
в результате чего они снова стали бы согласованными. Отметим, различные протоколы 
маршрутизации обладают разным временем конвергениии. 


Глава 16. Протоколы маршрутизации и технология $0М“ 495 


Применяемые сегодня в ІР-сетях протоколы маршрутизации относятся к адаптивным распреде- 
ленным протоколам, которые в свою очередь делятся на две группы: 

О дистанционно-векторные алгоритмы (0Оіѕїапсе Уещог Адойит, ОМА); 

ОЈ алгоритмы состояния связей (ипк Зе Аідогіїһт, ЕЗА). 


В дистанционно-векторных алгоритмах (ЮУА) каждый маршрутизатор периодически 
и широковешательно рассылает по сети вектор, компонентами которого являются рас- 
стояния (дистанции), измеренные в той или иной метрике, от данного маршрутизатора 
до всех известных ему сетей. Пакеты протоколов маршрутизации обычно называют объ- 
явлениями о расстояниях, так как с их помощью маршрутизатор объявляет остальным 
маршрутизаторам известные ему сведения о конфигурации сети. Получив от некоторого 
соседа вектор расстояний до известных тому сетей, маршрутизатор наращивает компонен- 
ты вектора на величину расстояния от себя до данного соседа и дополняет вектор инфор- 
мацией об известных ему самому других сетях, о которых он узнал непосредственно (если 
они подключены к его портам) или из аналогичных объявлений других маршрутизаторов. 
Обновленное значение вектора маршрутизатор рассылает своим соседям. В конце концов 
каждый маршрутизатор получает через соседние маршрутизаторы информацию обо всех 
имеющихся в составной сети сетях и о расстояниях до них и выбирает из нескольких 
альтернативных маршрутов к каждой сети маршрут, обладающий наименьшим значени- 
ем метрики. Маршрутизатор, передавший информацию о данном маршруте, отмечается 
в таблице маршрутизации как следующий (пех Вор). 


Дистанционно-векторные алгоритмы хорошо работают только в небольших сетях. В больших 
сетях они периодически засоряют линии связи интенсивным трафиком, к тому же изменения 
конфигурации не всегда корректно могут отражаться алгоритмом этого типа, так как маршру- 
тизаторы не имеют точного представления о топологии связей в сети, а располагают только 
косвенной информацией — вектором расстояний. 


Наиболее распространенным протоколом, основанным на дистанционно-векторном алго- 
ритме, является протокол КІР (см. далее). 


Алгоритмы состояния связей (15А) обеспечивают каждый маршрутизатор информацией, 
достаточной для построения точного графа связей сети. Все маршрутизаторы работают на 
основании одного и того же графа, что делает процесс маршрутизации более устойчивым 
к изменениям конфигурации. Каждый маршрутизатор использует граф сети для нахож- 
дения оптимальных по некоторому критерию маршрутов до каждой из сетей, входящих 
в составную сеть. 


Чтобы понять, в каком состоянии находятся линии связи, подключенные к его портам, 
маршрутизатор периодически обменивается короткими пакетами НЕТТО со своими не- 
посредственными соседями. В отличие от протоколов ЮУА, которые регулярно передают 
вектор расстояний, протоколы 1.5 А ограничиваются короткими сообщениями, а передача 
более объемных сообщений происходит только в тех случаях, когда с помощью сообщений 
НЕШО был установлен факт изменения состояния какой-либо связи. 


Служебный трафик, создаваемый протоколами (5А, гораздо менее интенсивный, чем у про- 
токолов ОМА. Протоколами, основанными на алгоритме состояния связей, являются протокол 
15-15 стека О$Ї (этот протокол используется также в стеке ТСРЛР) и протокол ОЗРЕ стека ТСРЛР. 
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Протокол ВІР 


Протокол маршрутной информации КІР (Коџсіпр шЮгтайоп Рго{осо]) является протоко- 
лом маршрутизации дистанционно-векторного типа и чаще всего используется в небольших 
сетях. Для ІР-сетей имеются две версии КІР — КІРУЇ (не поддерживает маски) и КІРУ2 
(поддерживает маски). Так как способ построения таблиц маршрутизации в обеих версиях 
протокола принципиально не отличается, мы ограничимся описанием работы версии 1. 


Построение таблицы маршрутизации 


Для измерения расстояния до сети стандарты протокола КІР допускают различные ме- 
трики: хопы, значения пропускной способности, вносимые задержки, надежность сетей 
(то есть соответствующие признакам О, Т и К в поле качества сервиса ІР-пакета), а также 
любые комбинации этих метрик. Метрика должна обладать свойством аддитивности — 
метрика составного пути должна быть равна сумме метрик составляющих этого пути. 
В большинстве реализаций КІР используется простейшая метрика — количество хопов, 
то есть количество промежуточных маршрутизаторов, которые нужно преодолеть пакету 
до сети назначения. Рассмотрим процесс построения таблицы маршрутизации с помощью 
протокола КІР на примере составной сети (рис. 16.1), разделив этот процесс на 5 этапов. 


<_201.36.14.3 > <132.11.0.10172> 


201.36.14.0 132.11.0.0 132.17.0.0 


2 2 


З 


132.15.0.0 


194.27.18.51 


№ 
194.27.19.0 


202.101.16.0 
202.101.15.0 


Рис. 16.1. Сеть, построенная на маршрутизаторах НР 


Этап 1 — создание минимальной таблицы. Данная составная сеть включает восемь [Р-сетей, 
связанных четырьмя маршрутизаторами с идентификаторами: К1, К2, КЗ и К4. Маршру- 
тизаторы, работающие по протоколу КІР могут иметь идентификаторы, однако для про- 
токола они не являются необходимыми. В КГР-сообщениях эти идентификаторы не пере- 
даются. В исходном состоянии на каждом маршрутизаторе программным обеспечением 
стека ТСРЛІР автоматически создается минимальная таблица маршрутизации, в которой 
учитываются только непосредственно подсоединенные сети. На рисунке адреса портов 
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маршрутизаторов (в отличие от адресов сетей) помещены в овалы. Таблица 16.1 позволяет 
оценить примерный вид минимальной таблицы маршрутизации маршрутизатора К1 (ми- 
нимальные таблицы маршрутизации в других маршрутизаторах выглядят аналогично). 


Таблица 16.1. Минимальная таблица маршрутизации маршрутизатора В1 


201.36.14.0 201.36.14.3 \ 


Этап 2 — рассылка минимальной таблицы соседям. После инициализации каждый маршру- 
тизатор начинает посылать своим соседям сообщения протокола КІР, в которых содержит- 
ся информация из его минимальной таблицы. ВІР-сообщения передаются в дейтаграммах 
протокола ОПР и включают два параметра для каждой сети: ее ІР-адрес и расстояние до 
нее от передающего сообщение маршрутизатора. 


По отношению к любому маршрутизатору соседями являются те маршрутизаторы, кото- 
рым данный маршрутизатор может передать ІР-пакет по какой-либо своей сети, не поль- 
зуясь услугами промежуточных маршрутизаторов. Например, для маршрутизатора Кі 
соседями являются маршрутизаторы К2 и КЗ, а для маршрутизатора К4 — маршрутизаторы 
К2 и КЗ. Таким образом, маршрутизатор Кі передает маршрутизаторам К2 и КЗ следующие 
сообщения: 


О сеть 201.36.14.0, расстояние 1; 
О сеть 132.11.0.0, расстояние 1; 
О сеть 194.27.18.0, расстояние 1. 


Этап 3 — получение ВІР-сообщений от соседей и обработка полученной информации. По- 
сле получения аналогичных сообщений от маршрутизаторов К2 и ЕЗ маршрутизатор КЇ 
наращивает каждое полученное поле метрики на единицу и запоминает, через какой порт 
и от какого маршрутизатора получена новая информация (адрес этого маршрутизатора 
станет адресом следующего маршрутизатора, если эта запись будет внесена в таблицу 
маршрутизации). Затем маршрутизатор начинает сравнивать новую информацию с той, 
которая хранится в его таблице маршрутизации (табл. 16.2). 


Записи с четвертой по девятую получены от соседних маршрутизаторов, все они претен- 
дуют на помещение в таблицу. Однако только записи с четвертой по седьмую попадают 
в таблицу, а записи восьмая и девятая — нет. Это происходит потому, что они содержат 
данные об уже имеющихся в таблице маршрутизатора Кі сетях, а расстояние до них 
больше, чем в существующих записях. Протокол КР замещает запись о какой-либо 
сети только в том случае, если новая информация имеет лучшую метрику (с меньшим 
расстоянием в хопах), чем имеющаяся. В результате в таблице маршрутизации о каждой 
сети остается только одна запись; если же имеется несколько записей, равнозначных 
в отношении путей к одной и той же сети, то все равно в таблице остается одна запись, 
которая пришла в маршрутизатор первой по времени. Для этого правила существует 
исключение — если худшая информация о какой-либо сети пришла от того же марш- 
рутизатора, на основании сообщения которого была создана данная запись, то худшая 
информация замещает лучшую. 
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Таблица 16.2. Таблица маршрутизации маршрутизатора В1 


Номер сети Адрес следующего Порт Расстояние 
ЕЙ ОИ 


|201.36.140 о 36.14.0 | 201.36.143 о 36.14.3 


С О 
СТИГИ ЕО КОИ 
ОИ ЕО ЕО ЕО 
ОО ЕЕ ЕО ЕО 
ССИ ЕСО ЕО ЕО 
С С Е ИВ 


| 


РЗ Ва И >И ВИ > 
о о ИСУ > и 


| 
и 
А 


Этап 4 — рассылка новой таблицы соседям. Каждый маршрутизатор отсылает новое КІР- 
сообщение всем своим соседям. В этом сообщении он помещает данные обо всех известных 
ему сетях — как непосредственно подключенных, так и удаленных, о которых маршрути- 
затор узнал из КІР-сообщений. 


Этап 5 — получение ВКІР-сообщений от соседей и обработка полученной информации. Этап 5 
повторяет этап З — маршрутизаторы принимают КР-сообщения, обрабатывают содержа- 
щуюся в них информацию и на ее основании корректируют свои таблицы маршрутизации. 
Посмотрим, как это делает маршрутизатор Кі (табл. 16.3). 


Таблица 16.3. Таблица маршрутизации маршрутизатора В1 


Номер сети Адрес следующего Порт Расстояние 
маршрутизатора 


201.36.14.0 201.36.14.3 
132.11.0.0 132.11.0.7 

194.27.18.0 194.27.18.1 

132.17.0.0 132.11.0.101 
132.15.0.0 132.11.0.101 
194.27.19.0 194.27.18.51 
202.101.16.0 132.11.0.101 


НН 


= 


На этом этапе маршрутизатор К1 получает от маршрутизатора КЗ информацию о сети 
132.15.0.0, которую тот, в свою очередь, на предыдущем цикле работы получил от марш- 
рутизатора К4. Маршрутизатор уже знает о сети 132.15.0.0, причем старая информация 
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имеет лучшую метрику, чем новая, поэтому новая информация об этой сети отбрасывается. 
О сети 202.101.16.0 маршрутизатор К1 узнает на этом этапе впервые, причем данные о ней 
приходят от двух соседей — от КЗ и К4. Поскольку метрики в этих сообщениях указаны 
одинаковые, в таблицу попадают данные, пришедшие первыми. В нашем примере счита- 
ется, что маршрутизатор К2 опередил маршрутизатор КЗ и первым переслал свое КІР- 
сообщение маршрутизатору КЇ. 


Если маршрутизаторы периодически повторяют этапы рассылки и обработки КІР- 
сообщений, то за конечное время в сети установится корректный режим маршрутизации. 
Под корректным режимом маршрутизации здесь понимается такое состояние таблиц 
маршрутизации, когда все сети достижимы из любой сети с помощью некоторого рацио- 
нального маршрута. Пакеты будут доходить до адресатов и не зацикливаться в петлях, 
подобных той, которая образуется на рис. 16.1 маршрутизаторами В1, К2, КЗ и КА. Если 
в сети все маршрутизаторы, их интерфейсы и соединяющие их линии связи остаются 
работоспособными, то объявления по протоколу КР можно делать достаточно редко, 
например один раз в день. Однако изменения в сетях постоянно происходят — меняется 
работоспособность маршрутизаторов и линий связи, кроме того, маршрутизаторы и ли- 
нии связи могут добавляться в существующую сеть или же выводиться из ее состава. Для 
адаптации к изменениям в сети протокол КР использует ряд механизмов. 


Адаптация маршрутизаторов НР к изменениям 
состояния сети 


К новым маршрутам маршрутизаторы КІР приспосабливаются просто — они передают 
новую информацию в очередном сообщении своим соседям, и постепенно эта информация 
становится известна всем маршрутизаторам сети. К изменениям, связанным с потерей ка- 
кого-либо маршрута, маршрутизаторы КІР адаптируются сложнее, поскольку в формате 
сообщений протокола КТР нет поля, которое бы указывало на то, что путь к данной сети 
больше не существует. Для уведомления о том, что некоторый маршрут недействителен, 
используются два механизма: 


О истечение времени жизни маршрута; 
О указание специального (бесконечного) расстояния до сети, ставшей недоступной. 


Механизм истечения времени жизни маршрута основан на том, что каждая запись таблицы 
маршрутизации (как и записи таблицы продвижения моста/коммутатора), полученная по 
протоколу КІР, имеет время жизни (ТТІ). При поступлении очередного КР-сообщения, 
которое подтверждает справедливость данной записи, таймер времени жизни устанавли- 
вается в исходное состояние, а затем из него каждую секунду вычитается единица. Если 
за время тайм-аута не придет новое сообщение об этом маршруте, он помечается как не- 
действительный. 


Значение тайм-аута связано с периодом рассылки векторов по сети. В протоколе КІР 
период рассылки выбран равным 30 секундам, а тайм-аут — шестикратному значению 
периода рассылки, то есть 180 секундам. Шестикратный запас времени нужен для уве- 
ренности в том, что сеть действительно стала недоступной, а не просто произошли по- 
тери КІР-сообщений (а это возможно, так как протокол КІР использует транспортный 
протокол ООР, который не обеспечивает надежной доставки сообщений). Если какой- 
либо маршрутизатор перестает корректно работать и слать своим соседям сообщения 
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о достижимых через него сетях, то через 180 секунд все записи, порожденные этим 
маршрутизатором, у его ближайших соседей станут недействительными. После этого 
процесс повторится уже для соседей ближайших соседей — они вычеркнут подобные 
записи лишь через 360 секунд. 


Как видно, сведения о сетях, пути к которым не могут проходить через отказавший марш- 
рутизатор, распространяются по сети не очень быстро. В этом заключается одна из причин 
выбора в качестве периода рассылки небольшой величины в 30 секунд. Механизм тайм- 
аута работает в тех случаях, когда маршрутизатор не может послать соседям сообщение об 
отказавшем маршруте, так как либо сам неработоспособен, либо неработоспособна линия 
связи, по которой можно было бы передать сообщение. 


Когда же сообщение послать можно, маршрутизаторы КІР используют прием, заключа- 
ющийся в указании бесконечного расстояния до сети, ставшей недоступной. В протоколе 
КІР бесконечным условно считается расстояние в 16 хопов. Получив сообщение, в котором 
расстояние до некоторой сети равно 16, маршрутизатор должен проверить, исходит ли эта 
«плохая» информация о сети от того же маршрутизатора, сообщение которого послужило 
в свое время основанием для записи о данной сети в таблице маршрутизации. Если это 
тот же маршрутизатор, то информация считается достоверной и маршрут помечается как 
недоступный. 


Причиной выбора в качестве «бесконечного» расстояния столь небольшого числа явля- 
ется то, что в некоторых случаях отказы связей в сети вызывают длительные периоды 
некорректной работы маршрутизаторов КІР, выражающейся в зацикливании пакетов 
в петлях сети. И чем меньше расстояние, используемое в качестве «бесконечного», тем 
такие периоды короче. 


Пример зацикливания пакетов 


Рассмотрим случай зацикливания пакетов на примере сети, изображенной на рис. 16.1. 
Пусть маршрутизатор К1 обнаружил, что его связь с непосредственно подключенной 
сетью 201.36.14.0 потеряна (например, по причине отказа интерфейса 201.36.14.3). Марш- 
рутизатор Кі отмечает в своей таблице маршрутизации, что сеть 201.36.14.0 недоступна. 
В худшем случае он обнаружит это сразу же после отправки очередных КІР-сообщений, 
так что до начала нового цикла его объявлений, в котором он должен сообщить соседям, 
что расстояние до сети 201.36.14.0 стало равным 16, остается почти 30 секунд. Каждый 
маршрутизатор работает на основании своего внутреннего таймера, не синхронизируя 
работу по рассылке объявлений с другими маршрутизаторами. Поэтому весьма вероятно, 
что маршрутизатор К2 опередит маршрутизатор Кі и передаст ему свое сообщение раньше, 
чем В1 успеет передать новость о недостижимости сети 201.36.14.0. А в этом сообщении 
имеются данные, порожденные записью в таблице маршрутизации К2 (табл. 16.4). 


таблица 16.4. Таблица маршрутизации маршрутизатора Н2 


Номер сети Адрес следующего маршрутизатора 


Эта запись, полученная от маршрутизатора Кі, была корректна до отказа интерфейса 
201.36.14.3, но теперь она устарела, причем маршрутизатор К2 об этом не знает. Далее 
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маршрутизатор К1 получает новую информацию о сети 201.36.14.0 — эта сеть достижима 
через маршрутизатор К2 с метрикой 2. Раньше маршрутизатор Кі также получал эту ин- 
формацию от К2, но игнорировал ее, так как его собственная метрика для 201.36.14.0 была 
лучше. Теперь К1 должен принять данные о сети 201.36.14.0, полученные от К2, и заменить 
запись в таблице маршрутизации о недостижимости этой сети (табл. 16.5). В результате 
в сети образуется маршрутная петля: пакеты, направляемые узлам сети 201.36.14.0, ста- 
нут передаваться маршрутизатором К2 маршрутизатору Кі, а маршрутизатор Кі будет 
возвращать их маршрутизатору К2. 


Таблица 16.5. Таблица маршрутизации маршрутизатора В1 


Номер сети Адрес следующего маршрутизатора пог = | Расстояние | 


ІР-пакеты продолжат циркулировать по этой петле до тех пор, пока не истечет время 
жизни каждого пакета. Рассмотрим периоды времени, кратные времени жизни записей 
в таблицах маршрутизаторов. 


О Время 0-180 с. После отказа интерфейса в маршрутизаторах К] и К2 начинают со- 
храняться некорректные записи. Маршрутизатор К2 по-прежнему снабжает маршру- 
тизатор К1 своей записью о сети 201.36.14.0 с метрикой 2, так как ее время жизни не 
истекло. Пакеты зацикливаются. 


О Время 180-360 с. В начале этого периода у маршрутизатора К2 истекает время жизни 
записи о сети 201.36.14.0 с метрикой 2, так как маршрутизатор КЇ в предыдущий период 
посылал ему сообщения о сети 201.36.14.0 с худшей метрикой, чем у К2, и они не могли 
подтвердить эту запись. Теперь маршрутизатор К2 принимает от маршрутизатора К] за- 
пись о сети 201.36.14.0 с метрикой 3 и трансформирует ее в запись с метрикой 4. Марш- 
рутизатор Кі не получает новых сообщений от маршрутизатора К2 о сети 201.36.14.0 
с метрикой 2, поэтому время жизни его записи начинает уменьшаться. Пакеты про- 
должают зацикливаться. 


О Время 360-540 с. У маршрутизатора К1 истекает время жизни записи о сети 201.36.14.0 
с метрикой 3. Маршрутизаторы К1 и К2 опять меняются ролями — К2 снабжает К1 
устаревшей информацией о пути к сети 201.36.14.0, уже с метрикой 4, которую КЇ пре- 
образует в метрику 5. Пакеты продолжают зацикливаться. 


Если бы в протоколе КР не было выбрано расстояние 16 в качестве недостижимого, то 
описанный процесс длился бы бесконечно (вернее, пока не была бы исчерпана разрядная 
сетка поля расстояния). В результате маршрутизатор К2 на очередном этапе описанного 
процесса получает от маршрутизатора Кі метрику 15, которая после наращивания, пре- 
вращаясь в метрику 16, фиксирует недостижимость сети. Таким образом, в нашем примере 
период нестабильной работы сети длится 36 минут! 


Ограничение в 15 хопов сужает область применения протокола КІР до сетей, в которых 
число промежуточных маршрутизаторов не превышает 15. Для более масштабных сетей 
нужно применять другие протоколы маршрутизации, например ОЗРЕ или разбивать сеть 
на автономные области. Приведенный пример хорошо иллюстрирует главную причину 
нестабильности маршрутизаторов, работающих по протоколу КТР. Эта причина коре- 
нится в самом принципе работы дистанционно-векторных протоколов — использовании 
информации, полученной из «вторых рук». Действительно, маршрутизатор К2 передает 
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маршрутизатору К1 информацию о достижимости сети 201.36.14.0, за достоверность ко- 
торой он сам не отвечает. 


ПРИМЕЧАНИЕ 


Не следует думать, что при любых отказах интерфейсов и маршрутизаторов в сетях возникают 
маршрутные петли. Если бы маршрутизатор Кі успел передать сообщение о недостижимости сети 
201.36.14.0 раньше ложной информации маршрутизатора К2, то маршрутная петля не образовалась 
бы. Так что маршрутные петли даже без дополнительных методов борьбы с ними возникают в среднем 
не более чем в половине потенциально возможных случаев. 


Методы борьбы с ложными маршрутами 
в протоколе ВІР 


Хотя протокол КІР не в состоянии полностью исключить в сети переходные состояния, 
когда некоторые маршрутизаторы пользуются устаревшей информацией о несуществу- 
ющих маршрутах, имеется несколько методов, позволяющих во многих случаях решать 
подобные проблемы. 


Проблема с петлей, образующейся между соседними маршрутизаторами, надежно решается 
с помощью метода расщепления горизонта, заключающегося в том, что маршрутная инфор- 
мация о некоторой сети, хранящаяся в таблице маршрутизации, никогда не передается тому 
маршрутизатору, от которого она получена. 


Практически все сегодняшние маршрутизаторы, работающие по протоколу КТР, исполь- 
зуют технику расщепления горизонта. Если бы маршрутизатор К2 в рассмотренном ранее 
примере поддерживал технику расщепления горизонта, то он бы не передал маршрути- 
затору К1 устаревшую информацию о сети 201.36.14.0, так как получил он ее именно от 
маршрутизатора В1. Однако расщепление горизонта не помогает, если петли образуются 
не двумя, а большим числом маршрутизаторов. 


Рассмотрим более детально ситуацию, которая возникнет в сети, приведенной на рис. 16.1, 
в случае потери связи маршрутизатора КЇ1 с сетью 201.36.14.0. Пусть все маршрутизаторы 
этой сети поддерживают технику расщепления горизонта. В этой ситуации маршрутиза- 
торы К2 и КЗ не возвращают маршрутизатору данные о сети 201.36.14.0 с метрикой 2, так 
как они получили эту информацию от маршрутизатора Кі. Однако они передают марш- 
рутизатору информацию о достижимости сети 201.36.14.0 с метрикой 4 через себя, так как 
получили эту информацию по сложному маршруту, а не непосредственно от маршрутиза- 
тора К1. Например, маршрутизатор К2 получает эту информацию по цепочке К4-КЗ-К1, 
поэтому маршрутизатор В1 снова может быть обманут, пока каждый из маршрутизаторов 
в цепочке КЗ-К4-К2 не вычеркнет запись о достижимости сети 201.36.14.0. Для предотвра- 
щения зацикливания пакетов по составным петлям при отказах связей применяются два 
других приема: триггерные обновления и замораживание изменений. 


Прием триггерных обновлений состоит в том, что маршрутизатор, получив данные об из- 
менении метрики до какой-либо сети, не ждет истечения периода передачи таблицы марш- 
рутизации, а передает данные об изменившемся маршруте немедленно. Этот прием может 
во многих случаях предотвратить передачу устаревших сведений об отказавшем маршруте, 
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но он перегружает сеть служебными сообщениями, поэтому триггерные объявления также 
делаются с некоторой задержкой. По этой причине возможна ситуация, когда регулярное 
обновление в каком-либо маршрутизаторе чуть опережает по времени приход триггерного 
обновления от предыдущего в цепочке маршрутизатора, и данный маршрутизатор успевает 
передать по сети устаревшую информацию о несуществующем маршруте. 


Второй прием — замораживание изменений — позволяет исключить подобные ситуации. 
Он связан с введением тайм-аута на принятие новых данных о сети, которая только что 
стала недоступной. Этот тайм-аут предотвращает принятие устаревших сведений о не- 
котором маршруте от тех маршрутизаторов, которые находятся на некотором расстоянии 
от отказавшей связи и передают устаревшие сведения о ее работоспособности. Предпо- 
лагается, что в течение тайм-аута «замораживания изменений» эти маршрутизаторы вы- 
черкнут данный маршрут из своих таблиц, так как не получат о нем новых записей и не 
будут распространять устаревшие сведения по сети. 


Протокол ОЗРЕ 


Протокол ОЗРЕ (Орел Ѕћһогїеѕї Рай Еігѕї — выбор кратчайшего пути первым) основан на алго- 
ритме состояния связей и обладает многими свойствами, способствующими его применению 
в больших гетерогенных сетях. 


Два этапа построения таблицы маршрутизации 


ОЅРЕ разбивает процедуру построения таблицы маршрутизации на два этапа: 


Этап 1 — построение и поддержание базы данных о состоянии связей сети. Связи сети 
могут быть представлены в виде графа, в котором вершинами являются маршрутизаторы 
и подсети, а ребрами — связи между ними (рис. 16.2). Каждый маршрутизатор обменивается 


197.13.58.0 


201.106.14.0 201.106.15.0 


Рис. 16.2. Граф сети, построенный протоколом ОЗРЕ 


504 Часть М. Сети ТСРЛР 


со своими соседями той информацией о графе сети, которой он располагает к данному 
моменту. Процесс похож на процесс распространения векторов расстояний до сетей 
в протоколе КІР, но сама информация качественно иная — это информация о топологии 
сети. Сообщения, с помощью которых распространяется топологическая информация, 
называются объявлениями о состоянии связей (Глок Зе Адуегизетепе, 5А) сети. При 
транзитной передаче объявлений 18А маршрутизаторы не модифицируют информацию, 
как это происходит в дистанционно-векторных протоколах, в частности в КІР, а передают 
ее в неизменном виде. В результате все маршрутизаторы сети сохраняют в своей памяти 
идентичные сведения о текущей конфигурации графа связей сети. 


Для контроля состояния связей и соседних маршрутизаторов маршрутизаторы ОЗРЕ 
передают друг другу особые сообщения НЕГО каждые 10 секунд. Небольшой объем этих 
сообщений делает возможным частое тестирование состояния соседей и связей с ними. 
Если сообщения НЕГО перестают поступать от какого-либо непосредственного соседа, 
то маршрутизатор делает вывод о том, что состояние связи изменилось с работоспособного 
на неработоспособное, после чего вносит соответствующие коррективы в свою топологиче- 
скую базу данных. Одновременно он отсылает всем непосредственным соседям объявление 
І ЅА об этом изменении, которые также вносят исправления в свои базы данных и, в свою 
очередь, рассылают данное объявление [.5А своим непосредственным соседям. 


Этап 2 — нахождение оптимальных маршрутов и генерация таблицы маршрутизации. За- 
дача нахождения оптимального пути на графе является достаточно сложной и трудоемкой. 
В протоколе ОЗРЕ для ее решения используется итеративный алгоритм Дейкстры. Каж- 
дый маршрутизатор сети, действуя в соответствии с этим алгоритмом, ищет оптимальные 
маршруты от своих интерфейсов до всех известных ему подсетей. В каждом найденном 
таким образом маршруте запоминается только один шаг — до следующего маршрутизатора. 
Данные об этом шаге и попадают в таблицу маршрутизации. 


Если состояние связей в сети изменилось и произошла корректировка графа сети, то каждый 
маршрутизатор заново ищет оптимальные маршруты и корректирует свою таблицу марш- 
рутизации. Аналогичный процесс происходит и в том случае, когда в сети появляется новая 
связь или новый сосед, объявляющий о себе с помощью своих сообщений НЕО. При рабо- 
те протокола ОЗРЕ конвергенция таблиц маршрутизации к новому согласованному состоя- 
нию происходит достаточно быстро, быстрее, чем в сетях, в которых работают дистанционно- 
векторные протоколы. Это время состоит из времени распространения по сети объявления 
І. ЅА и времени работы алгоритма Дейкстры, обладающего быстрой сходимостью. Однако 
вычислительная сложность этого алгоритма предъявляет высокие требования к мощности 
процессоров маршрутизаторов. Если состояние сети не меняется, то объявления о связях не 
генерируются, топологические базы данных и таблицы маршрутизации не корректируются, 
что экономит пропускную способность сети и вычислительные ресурсы маршрутизаторов. 
Однако у этого правила есть исключение: каждые 30 минут маршрутизаторы ОЗРЕ обмени- 
ваются всеми записями базы данных топологической информации, то есть синхронизируют 
их для более надежной работы сети. Так как этот период достаточно большой, то данное 
исключение незначительно сказывается на загрузке сети. 


Метрики 


При поиске оптимальных маршрутов протокол ОЗРЕ по умолчанию использует ме- 
трику, учитывающую пропускную способность каналов связи. Кроме того, допускает- 
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ся применение двух других метрик, учитывающих задержки и надежность передачи 
пакетов каналами связи. Для каждой из метрик протокол ОЗРЕ строит отдельную 
таблицу маршрутизации. Выбор нужной таблицы происходит в зависимости от значе- 
ний битов ТО$ в заголовке пришедшего [Р-пакета. Если в пакете бит О (ОБе]ау — за- 
держка) установлен в 1, то для этого пакета маршрут должен выбираться из таблицы, 
в которой содержатся маршруты, имеющие минимальную задержку. Аналогично пакет 
с установленным битом Т (ТЬгои2Ври{ — пропускная способность) должен маршрути- 
зироваться по таблице, построенной с учетом пропускной способности каналов, а уста- 
новленный в единицу бит К (Кейа Шу — надежность) указывает на то, что должна 
использоваться таблица, для построения которой критерием оптимизации служит 
надежность доставки. 


Протокол ОЗРЕ поддерживает стандартные для многих протоколов (например, для про- 
токола покрывающего дерева) значения расстояний для метрики, отражающей пропускную 
способность: так, для сети Ефегпе она равна 10, для Еаѕє Еќћегпеё — 1, для канала Т-11, 
обладающего пропускной способностью 1,544 Мбит/с, — 65, для канала с пропускной спо- 
собностью 56 Кбит/с — 1785. При наличии высокоскоростных каналов (СіраЬє Ећегпеї, 
=ТМ-16/64) администратору нужно задать другую шкалу скоростей, назначив единич- 
ное расстояние наиболее скоростному каналу. При выборе оптимального пути на графе 
с каждым ребром графа связывается метрика, которая добавляется к пути, если данное 
ребро в него входит. Пусть в приведенном на рис. 16.2 примере маршрутизатор К5 связан 
с маршрутизаторами Кб и К7 каналами Т-1, а маршрутизаторы Кб и К7 связаны между 
собой каналом 56 Кбит/с. Тогда К7 определит оптимальный маршрут до сети 201.106.14.0 
как составной, проходящий сначала через К5, а затем через Кб, поскольку у этого марш- 
рута метрика равна 65 + 65 = 130 единиц. Непосредственный маршрут через Кб не будет 
оптимальным, так как его метрика равна 1785. 


Протокол ОЗРЕ разрешает хранить в таблице маршрутизации несколько маршрутов 
к одной сети, если они обладают равными метриками. В подобных случаях маршрутизатор 
может работать в режиме баланса загрузки маршрутов, отправляя пакеты попеременно 
по каждому из маршрутов. К сожалению, вычислительная сложность протокола ОЗРЕ 
быстро растет с увеличением размера сети. Для преодоления этого недостатка в протоко- 
ле ОЗРЕ вводится понятие области сети. Маршрутизаторы, принадлежащие некоторой 
области, строят граф связей только для этой области, что упрощает задачу. Между обла- 
стями информация о связях не передается, а пограничные для областей маршрутизаторы 
обмениваются только информацией об адресах сетей, имеющихся в каждой из областей, 
и расстоянием от пограничного маршрутизатора до каждой сети. При передаче пакетов 
между областями выбирается один из пограничных маршрутизаторов области, а именно 
тот, у которого расстояние до нужной сети меньше. 


Протокол 18-18 (Іпѓіегтедіаѓе Ѕуѕѓет ќо Іпегтеіаќе Ѕуѕѓіет) функционально близок к про- 
токолу ОЅРЕ Существуют различные версии 15-15, рассчитанные на работу в различных 
стеках протоколов и способные переносить в своих сообщениях адресную информацию 
различного типа, например, версия 185-15 для стека ТСРЛІР или версия 15-15 для работы 
в сетях Еегпе (см. главу 12). 


1 Т-1 — это цифровой канал технологии РОН (см. главу 8). 
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Маршрутизация в неоднородных сетях 


Взаимодействие протоколов маршрутизации 


В одной и той же сети могут одновременно работать несколько разных протоколов маршру- 
тизации (рис. 16.3). Это означает, что на некоторых (не обязательно всех) маршрутизаторах 
сети установлено и функционирует несколько протоколов маршрутизации, но при этом, 
естественно, через сеть взаимодействуют только одноименные протоколы. То есть если 
маршрутизатор 1 поддерживает, например, протоколы КР и ОЗРЕ маршрутизатор 2 — 
только КІР, а маршрутизатор З — только ОЅРЕ то маршрутизатор 1 будет взаимодейство- 
вать с маршрутизатором 2 по протоколу КІР, с маршрутизатором 2 — по ОЗРЕ а маршру- 
тизаторы 2 и З вообще непосредственно друг с другом взаимодействовать не смогут. 


© Таблица \ 
маршрутизации 


Таблица 
маршрутизации 


Таблица е 
маршрутизации ‘ 


Маршрутизатор 2 


Рис. 16.3. Применение нескольких протоколов маршрутизации в одной сети 


В маршрутизаторе, поддерживающем одновременно несколько протоколов, каждая запись 
в таблице является результатом работы одного из этих протоколов. Если информация 
о некоторой сети появляется от нескольких протоколов, то для однозначности выбора 
маршрута (а данные разных протоколов могут вести к разным рациональным маршрутам) 
устанавливаются приоритеты протоколов маршрутизации. Обычно предпочтение отдает- 
ся протоколам 1.5 А как располагающим более полной информацией о сети по сравнению 
с протоколами О\УА. В некоторых ОС в формах вывода на экран и печать в каждой записи 
таблицы маршрутизации имеется отметка о том, с помощью какого протокола маршрутиза- 
ции эта запись получена. Но даже если эта отметка на экран и не выводится, она обязатель- 
но имеется во внутреннем представлении таблицы маршрутизации. По умолчанию каждый 
протокол маршрутизации, работающий на определенном маршрутизаторе, распространяет 
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только «собственную» информацию, то есть ту, что была получена этим маршрутизатором 
по данному протоколу. Так, если о маршруте к некоторой сети маршрутизатор узнал по 
протоколу ВТР, то и распространять по сети объявления об этом маршруте он будет с по- 
мощью протокола КІР. 


Однако такой «избирательный» режим работы маршрутизаторов ставит невидимые 
барьеры на пути распространения маршрутной информации, создавая в составной сети 
области взаимной недостижимости. Задача маршрутизации решается эффективнее, если 
маршрутизаторы смогут обмениваться маршрутной информацией, полученной разными 
протоколами маршрутизации. Такая возможность реализуется в особом режиме работы 
маршрутизатора, называемом режимом перераспределения маршрутов. Этот режим по- 
зволяет одному протоколу маршрутизации использовать не только «свои», но и «чужие» 
записи таблицы маршрутизации, полученные с помощью другого протокола маршрутиза- 
ции, указанного при конфигурировании. 


Как видим, применение нескольких протоколов маршрутизации даже в пределах неболь- 
шой составной сети — дело непростое, поскольку администратору требуется провести 
определенную работу по конфигурированию каждого маршрутизатора. Очевидно, что для 
крупных составных сетей нужно качественно иное решение. 


Внутренние и внешние шлюзовые протоколы 


Такое решение было найдено для самой крупной на сегодня составной сети — Интернета. 
Это решение базируется на понятии автономной системы. 


Автономная система (АЩопотои$ Ѕуѕќет, А5) — это совокупность сетей под единым админи- 
стративным управлением, обеспечивающим общую для всех входящих в автономную систему 
маршрутизаторов политику маршрутизации. 


Обычно автономной системой управляет один поставщик услуг Интернета, самостоя- 
тельно выбирая, какие протоколы маршрутизации должны использоваться в некоторой 
автономной системе и каким образом между ними должно выполняться перераспределение 
маршрутной информации. Крупные поставщики услуг и корпорации могут представить 
свою составную сеть как набор нескольких автономных систем. Регистрация автономных 
систем происходит централизованно, как и регистрация ІР-адресов и 0№5-имен. Номер 
автономной системы состоит из 16 разрядов и никак не связан с префиксами ІР-адресов 
входящих в нее сетей. В соответствии с этой концепцией Интернет выглядит как набор 
взаимосвязанных автономных систем, состоящих из взаимосвязанных сетей (рис. 16.4), 
соединенных внешними шлюзами. 


Основная цель деления Интернета на автономные системы — обеспечение многоуров- 
невого подхода к маршрутизации. До введения автономных систем предполагался двух- 
уровневый подход, то есть сначала маршрут определялся как последовательность сетей, 
а затем вел непосредственно к заданному узлу в конечной сети (именно этот подход мы 
использовали до сих пор). С появлением автономных систем появляется третий, верхний, 
уровень маршрутизации: сначала маршрут определяется как последовательность авто- 
номных систем, затем — как последовательность сетей и только потом ведет к конечному 
узлу. Выбор маршрута между автономными системами осуществляют внешние шлюзы, 
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Рис. 16.4. Автономные системы Интернета 


использующие особый тип протокола маршрутизации — внешний шлюзовой протокол 
(Ежегог Саѓеуау Ргобосо|, ЕСР). Сейчас для работы в такой роли сообщество Интерне- 
та утвердило стандартный пограничный шлюзовой протокол версии 4 (Вог4ег Са{е\ау 
Рготосо|, ВСРУ4). В качестве адреса следующего маршрутизатора в протоколе ВСРу4 
указывается адрес точки входа в соседнюю автономную систему. 


За маршрут внутри автономной системы отвечают внутренние шлюзовые протоколы 
(Пцепог Саѓемау РгоѓосоЇ, ІСР). К числу ІСР относятся знакомые нам протоколы КІР, 
ОЅРЕ и 185-15. В случае транзитной автономной системы эти протоколы указывают точ- 
ную последовательность маршрутизаторов от точки входа в автономную систему до точки 
выхода из нее. 


ПРИМЕЧАНИЕ — м 


Внутри каждой автономной системы может применяться любой из существующих протоколов 
маршрутизации, в то время как между автономными системами всегда применяется один и тот же 
протокол, являющийся своеобразным языком «эсперанто», на котором автономные системы обща- 
ются между собой. 


Концепция автономных систем скрывает от администраторов магистралей Интернета 
проблемы маршрутизации пакетов на более низком уровне — уровне сетей. Для админи- 
стратора магистрали не важно, какие протоколы маршрутизации применяются внутри 


автономных систем, поскольку для него существует единственный протокол маршрути- 
зации — ВСР 
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Протокол ВСР 


Пограничный (внешний) шлюзовой протокол (Вог4ег Саѓеуау Рго{осо], ВСР) в версии 4 
является сегодня основным протоколом обмена маршрутной информацией между автоном- 
ными системами Интернета. ВСР успешно работает при любой топологии связей между 
автономными системами, что соответствует современному состоянию Интернета. Поясним 
основные принципы работы ВСР на примере (рис. 16.5). В каждой из трех автономных 
систем (АЅ 1021, А$ 363 и А$ 520) имеется несколько маршрутизаторов, исполняющих 


роль внешних шлюзов. На каждом из них работает протокол ВСР, с помощью которого 
они общаются между собой. 


еВСР 
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> 4 
«=» сре» 192.17.100.2 

202.100.5.0/24 ОИУ «Еэ 
СВ ЕС? 5. 
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РЯ ) 


' ВСР 


>> 132.15.64.3 
се 
Я АЅ 520 

132.15.64.1 


Рис. 16.5. Поиск маршрута между автономными системами с помощью протокола ВСР 


Маршрутизатор взаимодействует с другими маршрутизаторами по протоколу ВСР только 
в том случае, если администратор явно указывает при конфигурировании, что эти марш- 
рутизаторы являются его соседями. Например, маршрутизатор ЕС1 в рассматриваемом 
примере будет взаимодействовать по протоколу ВСР с маршрутизатором ЕС2 не потому, 
что эти маршрутизаторы соединены двухточечным каналом, а потому, что при конфигу- 
рировании маршрутизатора ЕС1 в качестве соседа ему был указан маршрутизатор ЕС2 
(с адресом 194.200.30.2). Аналогично, при конфигурировании маршрутизатора ЕС2 его 
соседом был назначен маршрутизатор ЕС1 (с адресом 194.200.30.1). 


Такой способ взаимодействия удобен в ситуации, когда маршрутизаторы, обменивающие- 
ся маршрутной информацией, принадлежат разным поставщикам услуг (Іпќегпеѓ Ѕегуісе 
Ргоу14ег, [5Р). Администратор 15Р может решать, с какими автономными системами он 
будет обмениваться трафиком, а с какими нет, задавая список соседей для своих внешних 
шлюзов. Протоколы КІР и ОЅРЕ разработанные для применения внутри автономной 
системы, обмениваются маршрутной информацией со всеми маршрутизаторами, нахо- 
дящимися в пределах их непосредственной досягаемости (по локальной сети или через 
двухточечный канал). Это означает, что информация обо всех сетях появляется в таблице 
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маршрутизации каждого маршрутизатора, так что каждая сеть оказывается достижимой 
для каждой. В корпоративной сети это нормальная ситуация, а в сети ІЅР нет, поэтому 
протокол ВСР исполняет здесь особую роль, поддерживая разнообразные и гибкие 
политики маршрутизации, говорящие о том, каким соседям передавать маршрутные 
объявления и о каких сетях им в этих объявлениях сообщать, а также от каких соседей 
и о каких сетях можно принимать маршрутные объявления. Политика маршрутизации 
провайдера отражает условия по взаимной передаче трафика, имеющиеся в пиринговых 
соглашениях (от рееппЕ — отношения равных субъектов), которые провайдер заключает 
с другими провайдерами. 


Для установления сеанса с указанными соседями маршрутизаторы ВСР используют про- 
токол ТСР (порт 179). При установлении ВСР-сеанса могут применяться разнообразные 
способы аутентификации маршрутизаторов, повышающие безопасность работы автоном- 
ных систем. Основное сообщение протокола ВСР — сообщение ОРРАТЕ (обновить), 
с помощью которого маршрутизатор сообщает маршрутизатору соседней автономной 
системы о достижимости сетей, относящихся к его собственной автономной системе. 
Само название этого сообщения говорит о том, что это триггерное объявление, посыла- 
емое соседу, если в топологии автономной системы происходят изменения: появляются 
новые сети или новые пути к сетям либо же, напротив, исчезают существовавшие сети 
или пути. В одном сообщении ОРРАТЕ можно объявить об одном новом маршруте или 
аннулировать несколько маршрутов, переставших существовать. Под маршрутом в ВСР 
понимается последовательность автономных систем, которую нужно пройти на пути 
к указанной в адресе сети. Формальная запись о маршруте (ВСР Воще) к сети (МъМеімогк/ 
Маѕк Јепесћ) выглядит так: 


ВСР Коще = А$ Раёћ; МехНор; Мебмогк/МазК_]еп211; 


Здесь АЗ Раёһћ — набор номеров автономных систем, Мех{Нор — ІР-адрес маршрутизато- 
ра, через который нужно передавать пакеты в сеть Мебуогк/Маѕк Іепеёћ. Например, если 
маршрутизатор ЕС1 хочет объявить маршрутизатору ЕС2 о том, что в А5 1021 появилась 
новая сеть 202.100.5.0/24, то он формирует такое сообщение: 


А$ 1021; 194.200.30.1; 202.100.5.0/24. 


Затем он передает это сообщение маршрутизатору ЕС2 автономной системы А$ 363 (с ко- 
торым у него, конечно, должен быть установлен ВСР-сеанс). 


Маршрутизатор ЕС2, получив сообщение ОРРАТЕ, запоминает в своей таблице маршру- 
тизации информацию о сети 202.100.5.0/24 вместе с адресом следующего маршрутизатора 
194.200.30.1 и отметкой о том, что эта информация была получена по протоколу ВСР. 
Маршрутизатор ЕС2 обменивается маршрутной информацией с внутренними шлюзами 
системы Аз 363 по какому-либо протоколу группы ІСР, например ОЅРЕ Если у ЕС2 уста- 
новлен режим перераспределения маршрутов ВСР в маршруты ОЅРЕ то все внутренние 
шлюзы А5 363 узнают о существовании сети 202.100.5.0/24 с помощью объявления ОЗРЕ 
которое будет внешним. В качестве адреса следующего маршрутизатора маршрутизатор 


ЕС2 начнет теперь объявлять адрес собственного внутреннего интерфейса, например 
192.17.100.2. 


Но для распространения сообщения о сети 202.100.5.0/24 в другие автономные системы, 
например в А$ 520, протокол ОЗРЕ использоваться не может. Маршрутизатор ЕСЗ, свя- 
занный с маршрутизатором ЕС4 автономной системы 520, должен применять протокол 
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ВСР генерируя сообщение ОРРАТЕ нужного формата. Для решения этой задачи он не 
может задействовать информацию о сети 202.100.5.0/24, полученную от протокола ОЗРЕ 
через один из своих внутренних интерфейсов, так как она имеет другой формат и не со- 
держит, например, сведений о номере автономной системы, в которой находится эта сеть. 


Проблема решается за счет того, что маршрутизаторы ЕС2 и ЕСЗ также устанавливают 
между собой ВСР-сеанс, хотя они и принадлежат одной и той же автономной системе. Та- 
кая реализация протокола ВСР называется внутренней версией ВСР (Пцегог ВСРАВСР), 
в отличие от основной, внешней версии (Ежепог ВСР, еВСР). В результате маршрутизатор 
ЕСЗ получает нужную информацию от маршрутизатора ЕС2 и передает ее внешнему со- 
седу — маршрутизатору ЕС4. При формировании нового сообщения ОРРАТЕ маршру- 
тизатор ЕСЗ трансформирует сообщение, полученное от маршрутизатора ЕС2, добавляя 
в список автономных систем собственную автономную систему А$ 520, а полученный адрес 
следующего маршрутизатора заменяет адресом собственного интерфейса: 


АЅ 363, АЅ 1021; 132.15.64.3; 202.100.5.0/24. 


Номера автономных систем позволяют исключить зацикливание сообщений ОРРАТЕ. 


Например, когда маршрутизатор ЕС5 передаст маршрутизатору ЕС6 следующее сообще- 
ние о сети 202.100.5.0/24: 


АЅ 520, А$ 363, А$ 1021; 201.14.110.3; 202.100.5.0/24, 


последний не станет его использовать, Так как в списке автономных систем уже имеется 
номер его собственной автономной системы, из чего следует, что сообщение зациклилось. 


Групповое вещание 


Групповое вещание (ти саз(), применяемое ранее только в радио- и телевизионных сетях, 
в последние годы все шире внедряется в компьютерные сети. Наиболее востребована эта 
технология в Интернете, который представляет собой идеальную среду для массового рас- 
пространения по подписке мультимедийной информации: аудиозаписей, видеофильмов, 
информационных дайджестов и т. п. 


Стандартная модель группового вещания ІР 


Основной целью группового вещания является создание эффективного механизма пере- 
дачи данных от одного источника нескольким получателям. Для решения этой задачи 
могут использоваться несколько подходов, например, индивидуальная рассылка, широко- 
вещательная рассылка, привлечение сервисов прикладного уровня. 


При индивидуальной рассылке (ипісаѕі) на основе уникальных адресов источник данных, 
которые надо доставить некоторой группе узлов, генерирует их в количестве экземпляров, 
равном количеству узлов-получателей, состоящих в данной группе. То есть передача по 
принципу «один-ко-многим» сводится к нескольким передачам «один-к-одному». Оче- 
видно, что передача нескольких идентичных копий на участках, где маршруты к разным 
членам группы перекрываются (это особенно характерно для начальных участков), при- 
водит к избыточному трафику. 
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При широковещательной рассылке (Бгоа4саз®) для того, чтобы доставить данные группе 
узлов-получателей, источник генерирует один экземпляр данных, но снабжает этот экземп- 
ляр широковещательным адресом, который диктует маршрутизаторам сети копировать 
данные и рассылать их всем конечным узлам независимо от того, «заинтересованы» узлы 
в получении этих данных или нет. В этом случае, как и в предыдущем, существенная доля 
трафика является избыточной. 


В случае привлечения сервисов прикладного уровня источник генерирует один экземпляр дан- 
ных и, используя индивидуальный адрес, передает данные одному из членов группы, который 
генерирует копию и направляет ее другому члену группы и т. д. Перевод решения задачи 
с нижних транспортных уровней на прикладной уровень повышает суммарные накладные 
расходы сети на реализацию групповой доставки и делает этот механизм менее гибким. 


Таким образом, традиционные механизмы доставки пакетов стека ТСРЛР малопригодны для 
поддержки группового вещания. В такой ситуации наиболее эффективным решением является 
использование специально разработанного механизма группового вещания, ориентированного 
на сокращение избыточного трафика и накладных расходов сети. 


Главная идея группового вещания состоит в следующем: источник генерирует только один 
экземпляр сообщения с групповым адресом, которое по мере перемещения по сети копиру- 
ется на каждой из «развилок», ведущих к тому или иному члену группы, указанной в адресе 
данного сообщения. В конце концов, пакет с групповым адресом достигает маршрутиза- 
тора, к которому непосредственно подключена сеть с хостами — членами данной группы. 
Напомним, у хостов, относящихся к той или иной группе, интерфейс наряду с индивиду- 
альным адресом имеет еще один или несколько групповых адресов — адресов класса Ю — по 
числу групп, в которых состоит данный хост. Как и в случае обычной маршрутизации на 
базе индивидуальных адресов, маршрутизатор упаковывает пакет с групповым адресом 
в кадр канального уровня (той технологии, которая используется в данной локальной сети, 
например Еегпей), снабжая его групповым МАС-адресом, соответствующим групповому 
ТР-адресу пакета!. Кадр с пакетом группового вещания поступает в локальную сеть, рас- 
познается и захватывается интерфейсами хостов, являющихся членами данной группы. 
При таком подходе данные рассылаются только тем узлам, которые заинтересованы в их 
получении. Функция репликации группового сообщения и продвижения копий в сторону 
членов группы возлагается на маршрутизаторы, для чего они должны быть оснащены соот- 
ветствующими программно-аппаратными средствами. Такой режим экономит пропускную 
способность за счет передачи только того трафика, который необходим. 


Стив Диринг (Зеуе Оеепп5) — один из главных идеологов группового вещания — сформу- 
лировал несколько принципиальных положений, регламентирующих поведение конечных 
узлов сети, которые являются источниками и получателями группового трафика. 


О Дейтаграммный подход. Источник может посылать пакеты ООР/Р в любое время 
без необходимости регистрировать или планировать передачи, реализуя сервис «по 
возможности». 


О Открытые группы. Источники должны знать только групповой адрес. Они не должны 
знать членов группы и не обязательно должны быть членами той группы, которой по- 


1 Об отображении групповых ІР-адресов на групповые МАС-адреса см. далее в разделе «Протокол 
ІСМР». 
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сылают данные. Группа может быть образована узлами, принадлежащими к разным 
[Р-сетям и подсетям, иметь любое число источников данных. 


Ц Динамические группы. Хосты могут присоединяться к группам или покидать груп- 
пы без необходимости регистрации, синхронизации или переговоров с каким-либо 
централизованным элементом группового управления. Членство в группе является 
динамическим — хосты могут присоединиться к группе или выйти из группы в любой 
момент времени, к тому же они могут быть членами нескольких групп. 


Адреса группового вещания 


Ранее в главе 13, изучая типы ІР-адресов, мы отмечали, что адреса 1Ру4 из диапазона 
224.0.0.0—239.255.255.255 относятся к классу Ш и зарезервированы для группового ве- 
щания. Эти адреса используются для идентификации групп, источников, а также для 
административных нужд группового вещания. В общем случае адреса используются 
динамически — если после остановки вещания источник снова начинает передачу, то он 
может задействовать новый адрес группового вещания. Так называемые хорошо известные 
источники обычно наделяются постоянным групповым адресом. Информацию о том, какие 
адреса уже закреплены для исполнения некоторой постоянной роли, а также о том, как ис- 
пользовать адресное пространство адресов класса О, дает документ КЕС 5771 полномочной 
организации по цифровым адресам Интернета ІАМА. 


($) Структурирование адресного пространства группового вещания 


Протокол ІСМР 


На основе описанной концепции для стека ТСР/ЛІР был разработан ряд протоколов, с по- 
мощью которых можно организовать групповое вещание. Эти протоколы делятся на две 
категории. В первую входит протокол управления группами в Интернете (цегпеё Сгоир 
Мапағетепї Ргобосо1, ІСМР), с помощью которого, во-первых, хосты сообщают маршрути- 
затору о своем «желании» присоединиться к некоторой группе, во-вторых, маршрутизатор 
собирает информацию о принадлежности хостов в непосредственно подключенных к нему 
подсетях к той или иной группе. 


Ко второй категории относятся протоколы маршрутизации группового вещания (ти(їсаѕі 
гоцИп8 рго{осо|5), которые необходимы для продвижения через сеть произвольной кон- 
фигурации пакетов, несущих в себе информацию для групповых получателей. Маршру- 
тизаторы, которые поддерживают эти протоколы маршрутизации, называются маршрути- 
заторами группового вещания (ти[саз& гощег). Протоколы маршрутизации группового 
вещания ОУМКР, МОЅРЕ и РИМ опираются на разные подходы, но в конечном итоге все 
они сводятся к построению покрывающего дерева, связывающего все хосты в определенной 
группе. Протоколы маршрутизации группового вещания осуществляют постоянный мо- 
ниторинг покрывающего дерева и время от времени отсекают ветви дерева, которые из-за 
изменения состояния сети уже не ведут к членам той или иной группы. 


Подобно протоколу ІСМР, протокол [СМР упаковывает свои сообщения в пакеты ІР. 
Информация о том, что хост хочет стать членом некоторой группы, поступает на уровень 
[Р от приложений. Например, если на хосте работает приложение интернет-телевидения, 
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то оно может быть сконфигурировано так, чтобы получать информацию от определенных 
источников, которые вещают на определенные групповые адреса. Протокол 16 МР является 
асимметричным протоколом, определяющим взаимодействие непосредственно связанных 
друг с другом хоста и маршрутизатора группового вещания. Одна его часть (оповещение 
маршрутизатора) регламентирует поведение хостов, которые с помощью 1С МР опо- 
вещают маршрутизатор о своем участии в той или иной группе, а другая (опрос членов 
группы) — поведение маршрутизаторов, которые делают запросы к хостам и, основываясь 
на полученной информации, определяют, в какие подключенные к ним сети необходимо 
передавать групповой трафик. Начиная с первой версии, протокол {СМР использует два 
основных типа сообщений: 


О запрос о членстве (тетђБегѕћір дџегу) — сообщение маршрутизатора; 
О отчет о членстве (тетЪег$ р герогі) — сообщение хоста. 


С развитием функциональности протокола ІСМР набор сообщений расширялся: появился 
новый тип сообщения — покинуть группу, а также различные варианты запросов, о которых 
будет сказано ниже. Опрос членов группы выполняет только один из маршрутизаторов 
подсети, называемый доминирующим маршрутизатором. В ІСМРУЗ на эту роль выбирается 
маршрутизатор с наименьшим ІР-адресом. Доминирующий маршрутизатор периодически 
опрашивает все хосты (групповой адрес 224.0.0.1)! в непосредственно присоединенных 
к нему подсетях, проверяя, активны ли члены всех известных ему групп. Остальные (не 
выбранные) маршрутизаторы прослушивают сеть, и если обнаруживают отсутствие со- 
общений-запросов в течение некоторого периода (обычно 250 секунд), то повторяют про- 
цедуру выбора нового доминирующего маршрутизатора. 


С помощью сообщения запрос о членстве маршрутизатор пытается узнать, в каких группах 
состоят хосты в локальной сети, присоединенной к какому-либо его интерфейсу. Запрос 
о членстве существует в нескольких вариантах: 


С Общий запрос (Сепега| Оцегу) — периодически рассылается маршрутизатором всем 
хостам, подключенным к его сети. На этот запрос члены всех групи сообщают о своем 
членстве. 


О Запрос о конкретной группе (Сгоир-Ѕресіћс Очегу) — посылается по соответствую- 
щему групповому адресу для того, чтобы определить состояние подписки именно для 
этой группы. 


О Запрос о конкретных группе и источнике (Сгоир-ап4-Зоигсе-Зресйс Оиегу) — состоит 
в том, какие из указанных в запросе источников интересуют каждого из членов данной 
конкретной группы, которой адресован запрос. 


Маршрутизатор регулярно посылает запросы о членстве (по умолчанию — каждые 125 се- 
кунд), чтобы проверить, что в каждой группе еще имеются члены. На каждом из интер- 
фейсов с установленными средствами ІСМР маршрутизаторами поддерживаются кэш- 
таблицы групп. Кэш-таблица содержит список всех групп, в составе которых есть хотя бы 
один член. Для каждой строки таблицы установлен тайм-аут. Если для некоторой группы 
ответ не поступает в течение установленного для нее тайм-аута, то соответствующая стро- 
ка удаляется из кэш-таблицы, и маршрутизатор считает, что членов этой группы в сети 
больше нет. 


1 Сообщения с групповым адресом 224.0.0.1 обрабатываются специальным образом без участия [СМР 
и других протоколов группового вещания. 
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Сообщением отчет о членстве хосты отвечают маршрутизатору, который послал в сеть 
запрос о членстве. В сообщении содержится информация об адресе группы, в которой 
они состоят. Для маршрутизатора, получающего ответные сообщения, важен только факт 
наличия членов той или иной группы (групп), а не принадлежность конкретных хостов 
конкретным группам. Этот факт будет использован другими маршрутизаторами группово- 
го вещания сети для продвижения пакетов группового вещания в ту часть сети, за которую 
«отвечает» данный маршрутизатор. Хост посылает маршрутизатору ІСМР-сообщение 
отчет о членстве не только в ответ на запрос маршрутизатора, но и по собственной инициа- 
тиве, когда пытается присоединиться к определенной группе. После такого сообщения хост 
может рассчитывать на то, что трафик для этой группы действительно будет доставляться 
в сеть, к которой этот хост принадлежит. 


Сообщение покинуть группу (Іеауе эгоир) используется хостом, чтобы сигнализировать 
о желании покинуть некоторую группу, в которой он до этого состоял. Получив это со- 
общение, маршрутизатор посылает специфический запрос о членстве членам только этой 
конкретной группы, и если не получает на него ни одного ответа (что говорит от том, что 
это последний хост в группе), то перестает передавать трафик группового вещания для этой 
группы. Хост может также быть исключен из группы, просто не отвечая маршрутизатору на 
запрос о членстве (такой подход реализован в протоколе ІСМРУ1). Тогда маршрутизатор 
будет продолжать передавать нежелательный трафик группового вещания, пока не истечет 
некоторый период времени с момента поступления последнего отчета о членстве. Такой 
подход значительно удлиняет период скрытого нахождения хоста в состоянии выхода из 
группы, что снижает эффективность работы сети. 


Локальная сеть может иметь несколько хостов, заинтересованных в получении трафика од- 
ной и той же группы, но маршрутизатору достаточно подтверждения только от одного хоста, 
чтобы продолжать передачу трафика в сеть для этой группы. При использовании протокола 
ІСМРу2 для ограничения числа ответов хостов на запрос маршрутизатора любой хост, со- 
стоящий в группе, вместо того чтобы немедленно ответить на запрос, сначала некоторое, 
определенное протоколом время ждет, не появится ли в сети ответ какого-нибудь другого 
хоста. Если по истечении этого времени ответ другого хоста не поступил, то он посылает 
маршрутизатору собственный отчет о членстве. (Если же используется протокол 1СМРУЗ, 
то никаких пауз не устанавливается и хосты сразу генерируют сообщения о членстве.) 


ПРИМЕЧАНИЕ 


Чтобы хост смог получать трафик группового вещания, недостаточно установить на нем протокол 
[СМР с помощью которого хост может отправить сообщение своему маршрутизатору о желании при- 
соединиться к группе. Помимо этого, надо сконфигурировать сетевой интерфейс хоста так, чтобы он 
стал захватывать из локальной сети кадры, несущие в себе пакеты группового вещания для той груп- 
пы, к которой присоединился хост. Для этого необходимо настроить интерфейс на прослушивание 
определенного группового адреса канального уровня, соответствующего групповому [Р-адресу. К. со- 
жалению, адресное пространство групповых ІР-адресов в 32 раза объемнее пространства групповых 
МАС -адресов. То есть отображение этих двух адресных пространств друг на друга оказывается далеко 
не однозначным — на один и тот же групповой МАС-адрес отображается целый блок из 32 различных 
групповых 1Р-адресов. Следовательно, когда сетевой адаптер захватывает кадр, содержащий пакет 
группового вещания, существует значительная вероятность того, что этот пакет был направлен совсем 
другой группе. Однако эта ошибка скоро обнаруживается. Когда кадр передается вверх по стеку, про- 
токол ІР проверяет, совпадает ли групповой ІР-адрес в поле адреса назначения инкапсулированного 
пакета с групповым [Р-адресом данного интерфейса (при этом ни групповые [Р-адреса, ни групповые 
МАС-адреса никогда не используются в качестве адресов отправителя). 
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Принципы маршрутизации трафика 
группового вещания 


Среди принципов маршрутизации трафика группового вещания можно отметить: 
О маршрутизацию на основе доменов; 

О учет плотности получателей группового трафика; 

О два подхода к построению маршрутного дерева; 

О концепцию продвижения по реверсивному пути. 


Маршрутизация на основе доменов. Значительный объем хранимой и передаваемой по 
сети служебной информации, используемой для поддержания группового вещания, 
стал фактором, ограничивающим масштабируемость данной технологии. Для улуч- 
шения масштабируемости разработчики технологии группового вещания предложили 
традиционный для Интернета иерархический подход, основанный на доменах. Подобно 
автономным системам (доменам маршрутизации) и О№5-доменам вводятся домены 
группового вещания. Для доставки информации в пределах домена предлагаются одни 
методы и протоколы маршрутизации группового вещания, называемые внутридоменны- 
ми, а в пределах многодоменной структуры — другие, называемые междоменными. Мы 
ограничимся здесь описанием свойств внутридоменных средств продвижения пакетов 
группового вещания. 


Учет плотности получателей группового трафика. Внутридоменные протоколы маршру- 
тизации разделяются на два принципиально отличных класса: 


О Протоколы плотного режима (ПОепзе Моде, ОМ) разработаны в предположении, что 
в сетевом домене существует большое число принимающих узлов. Отсюда следует 
главная идея этих протоколов: сначала «затопить» сеть пакетами группового вещания 
по всем направлениям, останавливая продвижение пакетов, лишь когда находящийся 
на пути распространения трафика маршрутизатор явно сообщит, что далее ниже по 
потоку членов данной группы нет. 


О Протоколы разряженного режима (Ѕрагѕе Моде, 5М) рассчитаны на работу в сети, 
в которой количество маршрутизаторов с подключенными к ним членами групп 
невелико по сравнению с общим числом маршрутизаторов. В этой ситуации вы- 
годнее не усекать некоторые пути распространения широковещательной рассылки, 
а использовать явные сообщения о необходимости присоединения подсетей к дереву 
рассылки. 


В сети, использующей протокол класса ЗМ, необходимо существование центрального 
элемента, обычно называемого точкой рандеву или встречи (Кеп4егуоц$ Рош®). Точка 
встречи должна существовать для каждой имеющейся в сети группы и быть единственной 
для группы. Все узлы, заинтересованные в получении информации, предназначенной той 
или иной группе, должны регистрироваться в соответствующей точке встречи. Функции 
точки (или нескольких точек) встречи выполняет специально назначенный для этого 
маршрутизатор. В сети может быть несколько маршрутизаторов, играющих роли точек 
встречи. 


Два подхода к построению маршрутного дерева. Как и при решении задачи маршрутизации 
на основе индивидуальных адресов, в сети с групповым вещанием маршрутизаторы анали- 
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зируют топологию сети, пытаясь найти кратчайшие пути доставки данных от источников 
к получателям. При этом все протоколы маршрутизации группового вещания используют 
один из следующих двух подходов. 


О Для всех источников данной группы строится единственный граф связей, называемый 
разделяемым деревом. Этот граф связывает всех членов данной группы (точнее, все 
маршрутизаторы, к которым подключены локальные сети, имеющие в своем составе 
членов данной группы). Разделяемое дерево может включать также и необходимые для 
обеспечения связности маршрутизаторы, не имеющие в своих присоединенных сетях 
членов данной группы. Разделяемое дерево служит для доставки трафика всем членам 
данной группы от каждого из источников, вещающих на данную группу. 


О Для каждой группы строятся несколько графов по числу источников, вещающих на 
каждую из этих групп. Каждый такой граф, называемый деревом с вершиной в ис- 
точнике, служит для доставки трафика всем членам группы, но только от одного 
источника. 


Концепция продвижения по реверсивному пути. Механизм, используемый для маршру- 
тизации трафика группового вещания, в определенном аспекте является прямо противо- 
положным (реверсивным) традиционному способу маршрутизации на основе индивиду- 
альных адресов, при котором маршрутизаторы перемещают пакет по сети в направлении 
приемника. Напротив, все пакеты с групповым адресом маршрутизаторы тиражируют 
и передают копии во все стороны — на все интерфейсы, кроме того, с которого этот пакет 
поступил. 


При этом в сложных сетях возможно образование петель. Для правильной работы сети 
зациклившиеся пакеты необходимо распознавать и отбрасывать. Петля не может возник- 
нуть, если пакет прибыл от источника по ожидаемому пути, проложенному в соответствии 
с обычным алгоритмом маршрутизации, основанном на анализе таблиц маршрутизации. 
Маршрутизатор проверяет, является ли входной интерфейс, получивший групповой пакет, 
интерфейсом, через который пролегает кратчайший путь к источнику, с помощью обычной 
таблицы маршрутизации, которая, как известно, содержит указания о рациональных путях 
ко всем сетям составной интерсети. Проверка факта выполнения данного условия называ- 
ется продвижением по реверсивному пути (Кеуегѕе Раф Еог\у’аг те, КРЕ). Название объ- 
ясняется тем, что эта процедура связана не столько с путями, ведущими вперед от текущего 
места нахождения пакета к пункту назначения, сколько с обратным (реверсивным) путем, 
который уже пройден пакетом от того места, где он находится сейчас, до источника. Только 
пакеты, прошедшие КРЕ-проверку, являются кандидатами для дальнейшего продвижения 
вдоль путей, ведущих к потенциальным получателям трафика группового вещания. 


Концепция продвижения по реверсивному пути является главной при маршрутизации 
группового трафика независимо от того, какой протокол при этом использован. Механизм 
КРЕ применятся и в других вариантах организации группового вещания. Например, когда 
маршрутизатор пытается продвигать пакеты к точке встречи в сети, работающей в разря- 


женном режиме, он выбирает интерфейс, от которого проходит кратчайший путь к точке 
встречи. 


($) Протоколы маршрутизации группового вещания 


($) Протоколы ІпіЅегу и рі егу. Поддержка 005 маршрутизаторами 
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Программно-определяемые сети 5$0М 


Недостатки традиционной 
модели маршрутизации 


Классические сетевые устройства — коммутаторы и маршрутизаторы — весьма негибкие 
устройства, когда дело касается передачи трафика. Хотя их основу и составляет специали- 
зированный компьютер с развитым программным обеспечением, которое в принципе по- 
зволяет реализовать сложные адаптивные алгоритмы обработки и продвижения трафика, 
на практике основным способом продвижения пакетов является продвижения на основе 
значения единственного поля заголовка пакета — адреса назначения. Для изменения этого 
способа администратору сети приходится затрачивать немалые усилия по конфигуриро- 
ванию сетевых устройств. Например, для того чтобы маршрутизатор начал принимать во 
внимание при продвижении пакета не только ІР-адрес назначения, но и [Р-адрес источни- 
ка, администратор должен внести новые строки в файл конфигурации!. 


Децентрализованные протоколы построения таблиц маршрутизации, рассмотренные ранее, 
обладают достаточно хорошей масштабируемостью и устойчивостью, что подтвердил успех 
Интернета, однако у них есть и принципиальный недостаток — они медленно реагируют 
на изменения топологии сети из-за того, что информация об этих изменениях распростра- 
няется по цепочке, от одного маршрутизатора к другому, а не направляется сразу вединый 
центр принятия решений. В результате в некоторые периоды времени маршрутизаторы, 
обладая неверной информацией о топологии сети, принимают ошибочные решения о про- 
движении пакетов. Кроме того, во многих случаях децентрализованные протоколы даже 
при стабильном состоянии сети дают только частичную информацию о топологии сети, 
например, так работают протокол самообучающегося моста, протоколы КІР, ВСР, а также 
ОЗРЕи [$-[$ при разбиении сети на области. На основе ограниченной информации можно 
находить только квазиоптимальные решения, и это еще один принципиальный недостаток 
децентрализованного подхода. 


На интернет-магистралях, где маршрутизаторы передают агрегированные потоки, состоя- 
щие из сотни тысяч индивидуальных потоков и главной задачей является их доставка в со- 
ответствующую периферийную сеть без какой-либо дополнительной обработки, не столь 
важна гибкость и адаптивность сети. Но если, например, взглянуть на центр обработки 
данных облачного провайдера, то здесь различные услуги требуют различной обработки 
трафика: услуги виртуальных частных сетей, виртуальных файерволов или виртуальных 
офисов, динамическое перераспределение нагрузки между серверами центра данных — все 
это требует логического разделения трафика на основе специальной фильтрации на отдель- 
ные потоки и различного продвижения каждого потока, что представляет собой сложную 
задачу для негибких традиционных коммутаторов и маршрутизаторов. 


Еще одним недостатком традиционных коммутаторов и маршрутизаторов является их 
нестандартный командный язык конфигурирования устройств, это приводит к тому, что 
централизованной системе управления сетью необходимо иметь различные программные 
подсистемы для управления устройствами различных производителей 


1 См. раздел «Фильтрация» главы 28. 
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Концепция программно-определяемых сетей (ЗоН\маге Оеїпеа Мећмогкѕ, ЗОМ) призвана 
устранить недостатки традиционной модели маршрутизации, а именно повысить гибкость об- 
работки пакетов маршрутизаторами и коммутаторами и вто же время унифицировать интерфейс 
управления этими устройствами. 


Принципы организации сетей $0М 
В основе концепции 5ОМ лежат два принципа: 


О Перенос слоя управления! (сопїгоЇ рІапе) из сетевых устройств (маршрутизаторов 
и коммутаторов) в иентральное внешнее устройство — контроллер сети. Контрол- 
лер сети представляет собой компьютер, централизованно реализующий сложные 
алгоритмы обработки пакетов: выбор маршрута, баланс трафика, защита сети от раз- 
личных типов атак и др. В сетевом устройстве остается только механизм продвижения, 
действующий на основе решений, принимаемых слоем управления в контроллере сети. 


О Унификация механизма продвижения и интерфейса между механизмом продвижения 
и контроллером. Унификация механизма продвижения стирает различия между ком- 
мутатором и маршрутизатором, работающими по технологии ЗОМ, поэтому такие 
устройства иногда называют просто «устройство продвижения», а чаще — «коммута- 
тор», возможно, из-за того, что после удаления слоя управления оно стало весьма про- 
стым устройством, близким по интеллектуальным способностям к мосту/коммутатору 
локальных сетей. 


На рис. 16.6 показана сеть коммутаторов, находящихся под управлением центрального 
элемента — контроллера. 


Программное обеспечение контроллера структурировано, как это показано на рис. 16.6. 
Сетевая ОС поддерживает базовые функции управления сетью: построение топологии 
сети, отслеживание состояния коммутаторов и их интерфейсов, обеспечение удобного 
графического интерфейса для администратора сети. Поверх сетевой ОС работают различ- 
ные приложения, реализующие специфические задачи: инжиниринг трафика, поддержка 
виртуальных частных сетей, защита от атак и др. 


В каждом коммутаторе 50М№ имеются два модуля: 
Ч модуль таблиц продвижения; 
Ч модуль интерфейса с контроллером. 


Взаимодействие между контроллером и коммутаторами осуществляется по протоколу 
«контроллер-коммутатор». 


Таблицы продвижения диктуют коммутатору, каким образом он должен обрабатывать по- 
ступающие на его входные интерфейсы пакеты. Аналогом такой таблицы может служить 
таблица продвижения моста локальных сетей — если в таблице имеется запись с адресом, 
совпадающим с адресом назначения в заголовке пакета, то пакет нужно передать на вы- 
ходной порт, указанный в этой записи (в противном случае пакет нужно передать на все 
выходные порты). Но подобная аналогия довольно слаба. Действительно, целью 50М№ яв- 
ляется обеспечение гибкой, дифференцированной обработки трафика, а значит, в таблице 


1 О слое управления см. раздел «Вспомогательные протоколы» главы 4. 
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—- 


=. 


Коммутаторы $ОМ 
Рис. 16.6. Обобщенная схема сети 503 


продвижения $ОМ должны присутствовать в качестве признаков пакета не только адрес 
назначения, но и содержимое других полей заголовка — например, адрес источника, тип 
протокола, переносимого в поле данных, ит. д. 


а а а а о а ы пая 


В отличие от традиционных коммутаторов локальных сетей или ІР-маршрутизаторов, самосто- 
ятельно формирующих записи в своих таблицах продвижения, коммутаторы ЗОМ получают их 
«В готовом виде» ОТ контроллера. 


Необходимая высокая производительность сети ЗОМ достигается за счет рационального 
разделения труда между контроллером и коммутаторами. Непосредственная обработка 
пакетов, состоящая из примитивных операций сравнения-переключения, подобных опера- 
циям традиционного коммутатора, выполняется коммутаторами 5ОМ самостоятельно, без 
участия контроллера. В то же время от дополнительной работы по построению таблицы 
продвижения, которую в традиционных коммутаторах и маршрутизаторах выполняют 
протоколы самообучения и маршрутизации, коммутаторы $ОМ освобождены, поскольку 
ею занимается контроллер. Большую часть времени коммутатор и контроллер работают 
независимо. И хотя в сетях ЗОМ допускается, что контроллер может вмешаться в работу 
коммутатора и перестроить таблицу продвижения в ответ на изменения состояния сети — 
например, при отказах ее элементов, при появлении новых потоков или угроз, — такие 
вмешательства происходят относительно редко. 


Если сравнивать централизованный 700х0д к управлению сетевыми устройствами, приме- 
ненный в сетях 5ОМ, с распределенным управлением, реализованным в традиционных комму- 
таторах и маршрутизаторах, то у каждого из них можно найти и преимущества, и недостатки. 
Во многом — это уже известные читателям преимущества и недостатки централизованных 
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и распределенных систем (начиная с соперничества мини- и микрокомпьютеров с мейн- 
фреймами в 1970-1980-е годы). Централизация обычно выигрывает в качестве решений, 
поскольку они принимаются на основе более полной информации, сосредоточенной в одном 
центре, но проигрывает в надежности, производительности и масштабируемости. 


В случае $ОМ преимущество централизованного управления сетью состоит в том, что 
контроллер ЗОМ получает достоверные и полные сведения о топологии сети и состоянии 
ее узлов из первых рук — непосредственно от узлов, а не от посредников-соседей, как это 
происходит при традиционной маршрутизации. Обладание полной информацией о сети 
позволяет контроллеру $ОМ принимать более качественные решения по обработке тра- 
фика — например, выполнять инжиниринг трафика, решать задачи обеспечения отказо- 
устойчивости сети за счет оптимального выбора первичных и резервных маршрутов ит. п. 
Кроме того, централизованная вычислительная мощность контроллера, построенного на 
высокопроизводительных серверах или на кластере серверов, может значительно превос- 
ходить мощность процессорных блоков коммутаторов и маршрутизаторов, что позволит 
реализовывать непосильные для них сложные алгоритмы адаптивной обработки трафика. 


Необходимое свойство, которым должна обладать система $0М№, — это отсутствие за- 
висимости программного обеспечения контроллера от производителя коммутаторов. 
Чтобы контроллер мог управлять коммутаторами от разных производителей однотипно, 
они должны строго соответствовать так называемой стандартной абстрактной модели 
коммутатора. Модель описывает формат таблицы продвижения и определяет набор дей- 
ствий, которые коммутатор может выполнить над пакетом: передать на определенный порт, 
отбросить, изменить значение определенного поля заголовка и т. п. Кроме того, остается 
еще одно важное условие универсальности приложений 50М№ — должен существовать 
единый стандарт на программный интерфейс АРІ, предоставляемый ОС контроллера 
приложениям. 


Сети $50М на основе протокола ОрепЕіом 


Протокол ОрепЕіом (ОЕ) — одна из наиболее популярных реализаций протокола «контроллер 
5$0М-коммутатор ЗОМ». 


Модель коммутатора и протокол ОрепЕ]о\у были предложены в 2006 году исследователями 
Стэндфордского университета и Университета Беркли. Именно эта работа и положила 
начало утверждению концепции программно-управляемых сетей в том виде, в котором 
она существует сегодня. Изначально протокол и коммутатор ОрепЕ]о\/ создавались как 
средство быстрой разработки и тестирования новых сетевых протоколов, то есть как ин- 
струмент исследователей. Однако довольно быстро пришло понимание, что его гибкость 
и мощность могут быть использованы для изменения к лучшему функциональности сетей. 


Разработкой стандартов ОрепЕ]о\ занимается некоммерческий консорциум Ореп 
Месмогкіпе ЕоипдаНоп (ОМЕ), куда входят многие ведущие провайдеры, производители 
и исследовательские организации. Консорциум ОМЕ также осуществляет поддержку от- 
крытой сетевой операционной системы контроллера ОМО$ (Ореп М№еѓуогк Орегайпя 
зузбет) и ряда приложений для этой ОС. 


Первая версия стандарта ОЕ 1.0 появилась в 2009 году, а последняя, ОЕ 1.5, — в 2015-м. 
Наиболее устойчивой версией является версия ОЕ 1.3 — ее в настоящее время поддержива- 
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ют большинство производителей коммуникационного оборудования. Начнем рассмотрение 
протокола ОрепЕ]о\ с версии 1.0, которая хорошо отражает основные принципы работы 
этого протокола, а затем обратимся к некоторым усовершенствованиям, сделанным в по- 
следующих версиях. 


Сообщения протокола ОрепЕіом 


По версии ОЕ 1.0 модель коммутатора использует одну таблицу продвижения, состоящую 
из ряда записей — правил обработки пакетов. В исходном состоянии таблица продвижения 
коммутатора пуста. Ее формирование — это обязанность приложений контроллера $ОМ. 
Полученные от приложений правила обработки пакетов контроллер передает коммутатору 
по протоколу ОЕ Помимо сообщений-правил в число возможных сообщений протоко- 
ла ОЕ входят также сообщения-запросы, с помощью которых контроллер запрашивает 
у коммутатора информацию о состоянии его портов (работоспособные или нет), а также 
статистику потоков. В протоколе ОЕ предполагается, что коммутатор не только отвечает 
на запросы контроллера, но может передать контроллеру сообщения по своей инициативе, 
например, в случае изменения состояния порта или удаления некоторого правила по тайм- 
ауту. Канал обмена сообщениями между контроллером и коммутатором 5ОМ называется 
управляющим каналом. Он представляет собой ТСР-сессию, установленную в [Р-сети 
контроллером и коммутатором. 


Итак, каждое правило может включать элементы трех типов: 
О условия выделения потока пакетов, к которым это правило должно быть применено, 


О действия, которые должны быть выполнены над пакетом, который удовлетворяет ус- 
ловиям данного правила; 


О счетчики, измеряющие характеристики потока пакетов. 


Условия строятся на основе значений полей заголовка пакета, а также номера порта комму- 
татора, на который поступил кадр. Версия ОҒ 1.0 выбрала в качестве эталонного заголовка 
достаточно типичный набор параметров кадра Е(ћегпеї, в которые вложены пакеты ІР 
с сегментами ТСР или дейтаграммами ПОР: 


МАС -адрес источника (МАС $гс) и МАС-адрес назначения (МАС 050); 

тип кадра Еегпе{ (Есһегпеѓ Туре); 

идентификатор УГАМ (УГАМ Ір) и приоритет УГАМ (УГАМ Рпогку); 

ІР-адрес источника (ІР 5тс) и ІР-адрес назначения (ІР 05); 

коды вложенного протокола (ІР ргоѓосо]) и типа обслуживания (ІР То$); 
ТСР/ЧБР-порт источника (ТСР/ОРР $гс Рогі) и назначения (ТСР/ОРОР 0$ Роге); 
номер входного физического интерфейса коммутатора (Рогі). 


оосооооеоо 


Примером условия может быть такой набор значений: 


Сопаійопз: 
(Рот = 5; МАМ№МІР = 254; ІР $үс = 194.81.18.227; ІР рѕі = 130.16.55.12; ТСР 0$ Рот = 5009) 


Это условие определяет поток пакетов, поступающих на порт 5, относящийся к УГАМ 254, 
отправленных хостом с ІР-адресом 194.81.18.227 хосту с ІР-адресом 130.16.55.12 на ТСР- 
порт 5901. Условие считается выполненным, если выполняются все его компоненты, то 
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есть они объединяются логическим «И». Как видно из примера, в условии не обязательно 
использовать все возможные поля заголовка кадра; те поля, которые в условии не указаны, 
считаются замаскированными, то есть они могут иметь любые значения. Поля ІР-адресов 
могут иметь маску переменной длины, задающую значимую часть адреса, то есть возможно 
задать префикс 130.16.55.0/24 вместо адреса хоста 130.16.55.12. 


Конструкция условий протокола ОЕ позволяет очень тонко выделить поток данных и тем 
самым обеспечить его индивидуальную обработку коммутатором. Сравните это с воз- 
можностями стандартных коммутаторов и маршрутизаторов, которые считают одним 
потоком все пакеты, у которых совпадает лишь один признак — адрес назначения. Набор 
возможных действий некоторого правила включает передачу пакета на один из выходных 
портов коммутатора и операции по изменению значений полей заголовка пакета. Если 
действия в правиле отсутствуют, то пакет должен быть отброшен. Например, для того 
чтобы пакеты потока были переданы на порт 8 и чтобы при этом номер УТ.АМ был изменен 
на 1002, а МАС-адрес назначения — на Бс:30:7е:44:54:8&, достаточно определить набор из 
трех действий: 


АсНоп$: 
{Роп=8; МАМ Ш = 1002, МАС Рі = Бс:30:7е:14:54:8}) 


Счетчики позволяют коммутатору измерять статистические характеристики потока: его 
интенсивность (количество поступивших пакетов за секунду), продолжительность суще- 
ствования. Коммутатор также должен поддерживать агрегатные счетчики для каждого 
порта. Счетчики обновляются при поступлении каждого нового пакета в коммутатор, 
но непосредственно на обработку пакетов не влияют. Контроллер $ОМ может запросить 
у коммутатора значения счетчиков и на основании этих данных принять решение, напри- 
мер, заблокировать некоторый подозрительный поток, если его интенсивность слишком 
велика. 


Каждое правило имеет тайм-аут неактивности и срок жизни. Если срок жизни правила 
превышен или если оно не применяется в течение интервала времени, превышающего 
тайм-аут неактивности (то есть поток этого типа перестал поступать в коммутатор), то 
это правило должно быть удалено. Правила также имеют приоритеты, причем правило 
с большим приоритетом проверяется раньше правила с меньшим приоритетом. Приорите- 
ты позволяют контроллеру легче изменять таблицу продвижения. Так, правило с высоким 
приоритетом может быть добавлено в таблицу без удаления правила с тем же набором усло- 
вий, но с более низким приоритетом. Например, такая пара правил может использоваться 
при задании основного и резервного маршрутов: высокоприоритетное правило определяет 
основной маршрут, а низкоприоритетное — резервный; в случае отказа на основном пути 
контроллер просто удаляет высокоприоритетное правило и пакеты идут по резервному 
пути. При обработке пакета таблица продвижения коммутатора просматривается только 
один раз, в порядке, задаваемом приоритетами правил. Если для пришедшего пакета ни 
одно из условий таблицы не выполняется, то он отбрасывается. 


Виртуальные порты 


Контроллер и его приложения должны иметь возможность реагировать на появление 
новых потоков в сети, иначе гибкость сети ЗОМ не будет достаточной. С этой целью 
в технологии $ОМ предусмотрен виртуальный порт СОМТКОГГЕК. Для того чтобы все 
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пакеты, принадлежащие неизвестным коммутатору потокам (то есть для которых не на- 
шлось условия в таблице, вызывающего совпадение) не отбрасывались, а обрабатывались 
особым, предусмотренным для них способом, необходимо поместить в таблицу следующее 
правило, имеющее нулевой приоритет: 


Рпотииу = 0 
Сопаійопз: {} 
АсНоп5: (роп=СОМТКОГЕЕ} 


Данное правило будет играть роль «стопора» для не известных ранее потоков, так как с пу- 
стым списком условий оно будет вызывать совпадение для любого пакета, но применяться 
оно будет всегда после проверки всех остальных правил, из-за своего самого низкого при- 
оритета. Если такое правило в таблице отсутствует, то все нераспознанные пакеты просто 
отбрасываются, но при его наличии они направляются в порт СОМТКОГГЕК. 


Пакет, посланный в порт СОМТКОГГЕК, передается по управляющему каналу с помощью 
сообщения расКеќ іп в контроллер и далее — в приложение, которое должно решать, что 
нужно делать в такой ситуации, например, оно может сформировать для нового потока но- 
вое условие с ненулевым приоритетом и послать его в коммутатор. В сообщении расКеё іп, 
наряду с полученным пакетом, содержится номер порта, через которой он был получен. 
После этого последующие пакеты данного потока уже не будут посылаться в контроллер, 
а будут переданы на некоторый физический порт в соответствии с набором действий но- 
вого правила. 


Из приведенного описания видно, что основным режимом работы коммутатора ОҒ является ав- 
тономный режим, когда пакеты продвигаются им без непосредственного участия контроллера, за 
счет сформированной заранее таблицы продвижения. Контроллер вмешивается и перестраивает 
таблицу продвижения только в случае необходимости, когда в сети происходят события, такие 
как появление новых потоков или отказы ее элементов. Степень адаптивности сети ЗОМ целиком 
зависит от эффективности приложений, работающих на сервере (или кластере серверов), вы- 
полняющем роль контроллера. 


Протокол автоматического распознавания 
связей ВООР 


Как известно, для нормального функционирования сети необходимо, чтобы в ней работали 
служебные протоколы (протоколы слоя управления): протоколы маршрутизации (ОЗРЕ, 
15-15, ВСР, Ѕраппіпе Тгее) или протоколы мониторинга соединений (СЕМ). Важную часть 
этих протоколов составляет процесс генерации служебных сообщений и обмен ими со свои- 
ми соседями. Но такие действия не входят в функциональность коммутаторов $ОМ. Чтобы 
сделать возможным работу служебных протоколов в сети $ОМ, разработчики добавили 
в набор сообщений протокола ОЕ сообщение расКеё оиѓ. Этим сообщением контроллер 
говорит коммутатору о том, что последний должен передать пакет, находящийся в данном 
сообщении, на один из своих портов, номер которого также содержится в этом сообщении. 


То есть контроллер генерирует некоторый пакет, подобный объявлениям маршрутизаторов 
при построении топологии сети, после чего помещает его в сообщение расКе{ оц и пере- 
дает по протоколу ОЕ коммутатору для передачи на определенный сетевой интерфейс. 


Глава 16. Протоколы маршрутизации и технология З0М 525 


Наличие команды расКеѓ ои делает возможной работу в контроллере ОЕ $ОМ приложе- 
ний, реализующих служебные протоколы, например протокол ОЗРЕ или ВСР. Контрол- 
лер в этом случае эмулирует работу маршрутизатора по автоматическому построению 
топологии сети и выбору в ней маршрута в соответствии с некоторой метрикой. Такая 
функциональность может быть полезной при поэтапном внедрении островков ОЕ $ОМ 
в традиционные сети. Однако для автоматического построения топологии сети ОЕ $5ОМ 
обычно используется другой подход, более соответствующий централизованной схеме 
управления сетью. Он предусматривает следующие действия: 


О контроллер генерирует служебные пакеты, передаваемые каждому коммутатору с ука- 
занием направить этот пакет на все его выходные порты, так что сгенерированный пакет 
поступает всем непосредственным соседям некоторого коммутатора; 


О в таблицу каждого коммутатора вносится правило, в соответствии с которым пакеты 
этого типа, пришедшие на любой входной порт, коммутатор должен всегда передавать 
котроллеру и никогда не распространять далее по сети. 


Таким образом, контроллер по принятым от коммутаторов пакетам этого служебного 
протокола может судить о связях между коммутаторами. Так, если пакет А был отправлен 
коммутатору $1, а принят от коммутатора 52, то между ними имеется непосредственная 
связь. Связь коммутаторов идентифицируется двумя парами параметров (МАС-адрес 
коммутатора, номер порта), описывающих каждый из оконечных коммутаторов. Данный 
подход реализуется протоколом ВЮРР (Вгоайсаѕї оташ О15соуегу Ргоѓосо]). Он явля- 
ется модификацией протокола ІРР (пк Гауег О15соуегу Ргобосо]), с помощью которого 
коммутаторы локальных сетей обнаруживают своих непосредственных соседей по сети. 
Чтобы традиционные коммутаторы отличали пакеты ВОР от пакетов других протоколов, 
для него зарегистрирован код Е\егТуре, равный 0х8942. 


Контроллер посылает коммутатору сообщение раскеі оиї, в которое вложен готовый к от- 
правке кадр Е{Вегпеё с широковещательным адресом назначения, несущий в своем поле 
данных пакет ВОПР В пакете ВОШР содержится МАС-адрес коммутатора, на который 
контроллер направил данный пакет, а также номер порта, через который коммутатор должен 
отослать кадр Е{\егпей (рис. 16.7). Кадр Ефегпе должен быть отправлен коммутатором 
с порта, номер которого указан в поле сообщения раскес оиѓ. Заметим, что номер этого порта 
(Р) уже присутствует в пакете ВОРР Но здесь нет избыточности, так как содержимое пакета 
ВОР предназначено исключительно для контроллера и недоступно для коммутаторов. 


Номер порта, | 
через который 
коммутатор 


`МАС-адрес МАС-адрес | Е пете!Туре МАС-адрес коммутатора, Номер порта, 


назначения 0х8942 которому направлен через который коммутатор 
должен отправить | охЕЕЕЕЕЕЕЕЕЕЕЕ данный пакет ВООР отправил кадр Е{ћегпеї (Р) 
кадр Е{Пете! (Р) | 


Пакет ВООР 
Кадр Е{ћегпеї 


Сообщение раскеї ош 


Рис. 16.7. Структура сообщения, несущего пакет ВООР 


Рассмотрим работу протокола ВОР по автоматическому распознаванию связей на при- 
мере сети из трех коммутаторов и контроллера 5ОМ (рис. 16.8). 
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(1) Правило: Контроллер Топология 


Ргіогіќу = 40000 
Сопаійопѕ: {ЕегТуре=0х8942} 
Асіопѕ: {роѓ=СОМТКОЦЕК} 


Р2 
Коммутатор $2 


Пакет ВООР 


а 


Коммутатор 51 (з) Коммутатор $3 


Рис. 16.8. Автоматическое распознавание связи с помощью пакетов ВООР 


В соответствии с протоколом ОЕ каждый коммутатор при старте устанавливает управ- 
ляющий канал с контроллером (для этого коммутатору при конфигурации должен быть 
указан ІР-адрес контроллера) и сообщает ему свои параметры, в том числе свои МАС- и [Р- 
адреса, а также данные о каждом из своих портов — тип (например, Ефегпей), скорость 
(например, 10С), МАС-адрес и состояние — работоспособен или нет. Этой информации 
достаточно для того, чтобы контроллер начал процедуру автоматического распознавания 
связей между коммутаторами. 


Этап 1 этой процедуры заключается в том, что контроллер устанавливает в каждом ком- 
мутаторе правило, в соответствии с которым ВООР-пакет, поступивший на любой входной 
порт коммутатора, должен быть направлен контроллеру: 


Рпотиу = 40000 
Соп@1оп5: {Ейе Туре=0х8942} 
Асйоп5: роп=СОМТКОГТЕВ} 


Этап 2. Контроллер начинает периодически, скажем, один раз в секунду, посылать всем 
коммутаторам сообщения расКе ош со сгенерированными им пакетами ВРРО для каж- 
дого из портов каждого коммутатора. В нашем примере контроллер посылает каждую 
секунду коммутатору 51 три сообщения раске оиѓ для портов Р1, Р2 и РЗ. На рис. 16.8 
показано одно такое сообщение раскеї оц, в поле данных которого содержится пакет 
ВОШР {МАС-адрес коммутатора $1, номер порта РЗ). В заголовке сообщения раске оц 
также есть указание, что пакет ВООР нужно передать в сеть через порт РЗ. 
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Этап 3. Получив сообщение расКе{ ои, коммутатор извлекает пакет ВООР и передает его 
в сеть через указанный в сообщении порт, в нашем примере порт РЗ. 


Этап 4. Если связь между коммутаторами $1 и $3 работоспособна, то коммутатор 53 полу- 
чает пакет ВОРрР на порт Р2 ив соответствии с правилом для пакетов ВООР пересылает 
этот пакет на порт СОМТКОІШЕК в сообщении раскеѓ іп, указывая также номер порта, 
на который пришел этот пакет, в данном случае порт Р2. 


Этап 5. Контроллер получает им же сформированный пакет ВОПР и на основе его со- 
держимого (51, РЗ) и данных сообщения расКеї іп (Р2) делает вывод, что между ком- 
мутаторами 51 и 53 существует односторонняя связь (51, РЗ)=>(53, Р2), находящаяся 
в работоспособном состоянии. Для обнаружения связи в противоположном направлении 
(связи (51, РЗ) => (53, Р2)) используются пакеты ВЮрР, переданные контроллером 
коммутатору 53 для порта Р2. Если контроллер перестает периодически получать пакеты 
ВОР тестирующие некоторую связь, то по истечении тайм-аута связь помечается как 
неработоспособная. Отметим, что контроллер обнаруживает связи только между ком- 
мутаторами своего домена ОЕ $ОМ — набора коммутаторов, которые присоединились 
к данному контроллеру в результате процедуры установления с ним управляющего канала. 


Алгоритм автоматического построения топологии сети домена ОҒ 50М“ использует факт централи- 
зованного управления сетью. Этим он принципиально отличается от распределенных алгоритмов 
маршрутизации сетей ТСРЛР. Как следствие, данный алгоритм не страдает от периодов неста- 
бильной работы сети, вызванной временным рассогласованием таблиц разных маршрутизаторов. 


Развитие протокола ОЕ: 


В версии 1.0 протокола ОрепЕож предполагается, что коммутатор имеет только одну 
таблицу продвижения. Такое ограничение может приводить к неэффективным решениям 
в тех случаях, когда обработка пакета, во-первых, требует проверки нескольких условий, 
а, во-вторых, проверяемые параметры принимают независимо друг от друга значения из 
широкого диапазона. 


Типичным примером именно такого случая является реализация коммутатором ОҒ алго- 
ритма прозрачного моста: здесь требуется проверка двух условий, и параметры — МАС- 
адреса — принимают значения из множества адресов некоторой локальной сети. Обработка 
мостом каждого пакета состоит в проверке двух независимых правил, одно из которых 
связано с проверкой совпадения МАС-адреса источника с адресами, имеющимися в табли- 
це продвижения, а второе — с проверкой совпадения МАС-адреса назначения с этими же 
адресами. Первая проверка нужна для корректировки таблицы продвижения в тех случаях, 
когда адрес источника либо отсутствует в таблице, либо соответствует новому значению 
порта источника. Вторая проверка нужна для принятия решения о продвижении пакета (на 
один из портов либо на все порты) или же о его отбрасывании. Так как просмотр таблицы 
коммутатора ОЕ может быть сделан только один раз, для учета всевозможных комбинаций 
МАС-адресов источника и назначения необходимо иметь в таблице ОЕ МхМ правил, если 
в сети имеется М различных хостов. Каждое такое правило может выглядеть так (№1 и №2 
взяты из диапазона [1-№]): 


Сопаійопѕ: {МАС 5с = №, Рот = т, МАС О) = №) 
Асйопѕ: {Рот = р} 
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В том случае, когда МАС-адреса пакета и порт источника совпадают с условиями одного из 
правил, пакет передается на порт, заданный в действии. Если же нет, то срабатывает прави- 
ло-стопор, которое в данном случае говорит, что пакет должен быть послан на виртуальный 
порт СОМТКОГТЕК. Контроллер, получив пакет, должен решить, почему произошел отказ 
в обработке пакета таблицей и как нужно модифицировать таблицу коммутатора. Напри- 
мер, если отказ таблицы произошел по причине изменения соответствия МАС-адреса ис- 
точника порту источника, то контроллер должен отозвать старое правило с некорректным 
соответствием и заменить его новым. Если же появился ранее не изученный МАС-адрес 
источника, то для него нужно создать новые правила, содержащие этот адрес. 


Алгоритм прозрачного моста — не единственный, который приводит к таблицам большой 
размерности. Любой алгоритм обработки пакетов, который требует нескольких независи- 
мых проверок, включающих все пространство МАС-адресов или [Р-адресов, порождает 
проблему размерности таблицы продвижения, если эта обработка должна быть сделана за 
один проход таблицы. Например, рассмотренная ранее в этой главе процедура проверки 
продвижения по реверсивному пути при маршрутизации трафика группового вещания 
также требует проверки условий, связанных как с адресом источника, так и назначения. 
Еще одним примером является поддержка техники УГАМ с портами доступа (см. главу 11), 
которая требует выполнения двух действий с пришедшим пакетом: добавление к заголовку 
пакета тега с номером УГАМ“, приписанному к входному порту пакета, и продвижение па- 
кета по его МАС-адресу назначения. Коммутатор может справиться с этой задачей, только 
если в таблицу продвижения будет добавлено большое количество записей, описывающих 
все возможные комбинации (Мрогё х Мтас) проверяемых параметров. 


Конвейер таблиц 


Кардинальным решением проблемы размерности таблицы продвижения коммутатора 
стала замена одной большой таблицы конвейером (ріре!іпе), составленным из нескольких 
компактных таблиц (рис. 16.9). 


Пакет + 
номер порта + 
метаданные Пакет 


Коммутатор ОР 


еее -а 


‚Выполнение: 


...._% Таблица ' набора 
п ‚ действий : = 
Входной 02222222... | Выходной 
порт Набор р Набор 1 С | порт 
действий действий действий 


{} {91} {91, 92, ...} 


Рис. 16.9. Конвейер таблиц коммутатора $О0М 


Возможность использования нескольких таблиц упрощает многие задачи. Обратимся 
снова к примеру обработки трафика по алгоритму прозрачного моста. Если одно условие 
(проверка МАС-адреса источника для обучения моста) описывается одной таблицей, а вто- 
рое условие (проверка МАС-адреса назначения для выбора выходного порта) — другой 
таблицей, то последовательное применение правил каждой из таблиц позволяет решить 
задачу, даже если разрешен только один проход. При этом обе таблицы имеют относительно 
небольшой размер. 
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Начиная с версии 1.1 стандарта ОЁ коммутатор получил возможность поддерживать до 
255 таблиц. Каждая таблица состоит из некоторого количества правил того же формата 
и назначения, что и правила коммутатора с единственной таблицей. Обработка пакета 
начинается с таблицы 0. Переход к следующей таблице всегда выполняется по команде 
СОТО ѓаЫе К, где К — номер следующей таблицы. Процесс обработки пакета с помощью 
команды СО ТО К может перемещаться к следующей соседней таблице или «прыгать» 
через несколько таблиц, при этом перемещение должно быть только вперед, к таблице 
с большим номером, чем текущая. Это ограничение исключает зацикливание обработки 
пакета при использовании различных таблиц. Обработка пакета последовательностью 
таблиц без возможности возврата является конвейерной обработкой, что и дало название 
этому варианту организации таблиц коммутатора. Пакет переходит от таблицы к таблице 
вместе со связанными с ним набором отложенных действий и метаданными. 


В наборе отложенных действий накапливаются действия, которые предполагалось вы- 
полнять над пакетом при осуществлении условия каждой из таблиц, через которые прошел 
пакет. Все отложенные действия выполняются на выходе из коммутатора после прохож- 
дения пакетом всех таблиц. И только если таким действием является изменение значения 
некоторого поля заголовка пакета, коммутатор выполняет его, не откладывая, передавая 
пакет на обработку следующей таблице в измененном виде. 


Метаданные представляют собой поле размером в 64 бита, ассоциированное с пакетом 
на время прохождении им конвейера таблиц. Это поле служит для того, чтобы одна 
таблица могла сгенерировать и передать другой таблице некоторую информацию, ко- 
торую вторая и последующие таблицы могли бы учесть при обработке пакета. Правила 
таблиц могут включать значение поля метаданных в свои условия так же, как значения 
полей заголовка пакета. Правила могут и изменять значения метаданных аналогично 
изменению значений полей заголовка пакета. Например, в правиле некоторой таблицы 
указано действие, в результате которого в поле метаданных обрабатываемого пакета 
помещается отметка времени. Значение этого поля затем будет передаваться «по кон- 
вейеру таблиц», каждая из которых может использовать отметку времени в правилах 
обработки пакета. 


Рассмотрим другой пример использования метаданных. Пусть коммутатор предоставляет 
пользователям два различных транспортных сервиса, $1 и $2. Каждый пользователь под- 
ключен к индивидуальному порту коммутатора и за каждым портом жестко закреплен тип 
предоставляемого сервиса. Таблица 0 организована так, что она задает отображение портов 
на сервисы, то есть содержит два правила, по одному на каждый пользовательский порт 
коммутатора. Правила имеют вид: 


Сопаійопз: Сопаійопз: 

{Рот = 1} {Роп = 2) 

Асӣопз: Асйоп$: 

{Меааша = 1, СОТО ѓаЫе 1} {Меѓайаѓа = 2, СО ТО ѓаЫе 1} 


Все последующие таблицы используют значение метаданных, созданных таблицей 0, что- 
бы определить, какой сервис они должны предоставить пришедшему пакету. Для пакетов, 
у которых Меќайаѓќа = 1, выполняются проверки и действия, соответствующие сервису $1, 
а для тех, у которых Меѓайаѓа = 2 — проверки и действия для сервиса $2. 
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Метаданные дополняют стандартный набор параметров пакета, которые он несет в своем за- 
головке, — это позволяет сделать обработку пакетов более гибкой. 


Таблицы коммутатора могут отличаться функциональностью. Например, таблица 0 мо- 
жет допускать только условия, работающие с полями заголовка Е(ћегпеї, а таблица 1 — 
только с полями заголовков [Ри ТСР/ОРР Эта специфика не определяется стандартом 
ОрепЕ]о\ — она оставлена на усмотрение производителя коммутатора. 


Развитие функциональности коммутатора 


В старших версиях протокола ОрепЕ1о\ предполагается, что коммутатор может иметь две 
специальные таблицы — групповую таблицу и таблицу измерителей, которые отличаются 
по формату и назначению от таблиц продвижения пакетов. Обе эти таблицы повышают 
автономность и функциональность коммутатора, его способность совершать без непо- 
средственного участия контроллера более сложные действия, чем простое продвижение 
пакетов. Это очень важное свойство, так как любое вмешательство контроллера приводит 
к существенному замедлению процесса передачи пакетов коммутатором. 


ПРИМЕЧАНИЕ 


Однако при усложнении функций коммутатора появляется потенциальный риск скомпрометировать 
саму идею 5 О№-разделения сетевых устройств на две категории: «умные» контроллеры и «глупые», 
работающие под их управлением коммутаторы. К тому же увеличение функциональной нагрузки 
коммутаторов $ОМ угрожает свести на нет еще одно преимущество устройств ОМ — унификацию. 
Действительно, чем сложнее модель, тем больше вероятность того, что производители начнут реали- 
зовывать ее по-своему и снова появятся фирменные коммутаторы, отличные друг от друга. 


Групповая таблица (Сгоир Тае) состоит из записей типа {номер группы, тип группы, 
счетчик, наборы действий}. Правила таблиц продвижения пакетов могут ссылаться на ту 
или иную группу из групповой таблицы. Если условие некоторой таблицы продвижения 
выполняется и в этом правиле есть ссылка на номер группы групповой таблицы, то даль- 
нейшая обработка пакета зависит от типа группы. 


Группа типа «Быстрое переключение» (Гаѕі ЕаПоуег) нужна для автономного принятия 
решения коммутатором по переходу на резервный путь при отказе какого-либо его порта. 
В группе данного типа определяется столько наборов действий, сколько существует портов 
для альтернативных маршрутов к какому-нибудь адресу назначения (если существуют 
только основной и резервный маршрут, то таких наборов будет два). Коммутатор должен 
автоматически выявлять работоспособность своих портов и на этом основании определять 
«жизнеспособность» каждого набора действий. Процедура определения жизнеспособности 
порта стандартом не оговаривается. Если определены несколько наборов действий, то пакет 
обрабатывается в соответствии с первым из них. В случае отказа порта соответствующий 
набор помечается как «нежизнеспособный» и выбирается следующий «жизнеспособный» 
набор. Обычно набор действий группы этого типа включает как минимум одно действие — 
отправку пакета на выходной порт. Остальные действия могут быть связаны со спецификой 
резервного маршрута, например, может быть изменено значение приоритета пакета. 


Для групп типа «Выбор» (Ѕејесї) выбирается один из заданных наборов действий слу- 
чайным или псевдослучайным образом, например, с помощью хеш-функции от адресов 
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источника и назначения. Этот тип группы предназначен для поддержания алгоритмов 
баланса нагрузки выходных портов, когда в сети существуют альтернативные маршруты. 


Для групп типа «Все» (АІЛ.) создается столько копий пакета, сколько наборов действий 
определено в описании группы. Одним из очевидных применений такого типа группы 
является обработка пакетов с групповыми адресами, которая, напомним, состоит в том, 
что по мере перемещения такого пакета по сети он копируется на каждой из «развилок», 
ведущих к тому или иному члену группы, указанной в адресе данного сообщения. Каждый 
набор в этой группе действий соответствует порту, на который должен быть отправлен па- 
кет с групповым адресом. Так как маршруты группового трафика проходят в общем случае 
через несколько портов коммутатора, число наборов (и число копий пакета) должно быть 
равно числу участвующих в групповой рассылке выходных портов для данной группы. 


Таблица измерителей (Меег Тае) служит для автономного выполнения коммутатором 
операции по профилированию трафика (ограничению его скорости). Каждая запись этой 
таблицы описывает некоторый измеритель (Мег) и состоит из двух компонентов: 


О диапазон (Барӣ) описывается двумя значениями: скоростью и пульсацией (как мы 
помним, период усреднения Т является производной от этих двух величин). В стандарте 
определено только два возможных действия при превышении скорости диапазона — от- 
брасывание пакета и изменение значения поля ОЗСР пакета; 


О действия, которые нужно выполнить над пакетом, если интенсивность потока попадает 
в данный диапазон. 


Измерители, описанные в данной таблице, имеют номера. Правила таблиц продвижения 
могут ссылаться на эти измерители, указывая их в наборе действий. Само описание из- 
мерителя в таблице измерителей не оказывает никакого влияния на потоки пакетов, пока 
на него не ссылается некоторое правило из таблицы продвижения. Если же такая ссылка 
есть, то к потоку, который удовлетворяет условиям данного правила, начинает применяться 
профилирование, то есть отбрасывание пакетов или же их маркирование, что создает пред- 
посылки для последующего отбрасывания другими коммутаторами. 


Рассмотрим использование измерителя на следующем примере. Пусть на порт 4 комму- 
татора поступает поток ІР-пакетов от внешней сети, которая не находится под нашим 
контролем. Мы хотим защитить сеть от перегрузок и ограничить скорость входного потока 
пределом в 4 Гбит/с. Прежде чем задать правило обработки этого потока, нужно создать 
измеритель с нужными параметрами. 


Меѓег 1: 
{Туре= РОР; Каѓе = 4С; Витя = 5 СВ} 


Эта запись создает измеритель с номером 1 в таблице измерителей с диапазоном, опреде- 
ляемым скоростью 4 Гбит/с и пульсацией 5 Гбайт (это дает период усреднения скорости 
Т = Вшѕёх 8/Каќе = 10 с). Тип диапазона ОКОР говорит о том, что пакеты, превышающие 
предел скорости, будут отброшены, то есть измеритель этого типа работает как элемент 
профилирования трафика. Наличие этого измерителя позволяет создать правило для по- 
тока, поступающего на порт РА и передаваемого на порт Р1: 


Рпотиу = 40000 
Сопаійопѕ: {Рот = Р4; ЕѓіһетТуре=0х0800; ІР "Реѕі = 194.81.18.0/24} 
Асйопз: {Меет 1; Роп =Р1) 
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Измерители создают предпосылки для применения методов 005 в сетях ОЕ 50М. Цен- 
трализованное управление коммутаторами облегчает задачу согласованного применения 
механизмов 00$, так как приложение, работающее на контроллере сети, знает полные 
маршруты потоков. Это облегчает выполнение процедур проверки и резервирования ре- 
сурсов вдоль пути следования потока. 


Проблемы протокола ОрепЕіом 


Распространению сетей ОЕ $ОМ мешают несколько принципиальных проблем. 


Проблема унификации конвейера таблиц. Конвейер таблиц представляет собой мощное 
и гибкое средство обработки пакетов, одновременно лишая коммутаторы ОрепЕ|о\ одного 
из фундаментальных преимуществ, присущих сетевым устройствам 5ОМ перед традици- 
онными коммутаторами, — их унифицированности. Ситуация, когда коммутатор одного 
производителя поддерживает конвейер таблиц, не совместимый с конвейером другого про- 
изводителя, возвращает сетевую отрасль к старому вопросу: как обеспечить независимость 
разработчиков приложений от конкретной модели коммутатора? 


Один из ответов заключается в том, чтобы переложить все заботы, связанные со спе- 
цификой конвейера, на драйверы контроллеров. Так делается, например, в ОС ОМО5, где 
существует промежуточный слой ЕІом Ођјесііуеѕ между приложениями и драйверами ОЕ 
коммутаторов. Этот слой с помощью программного интерфейса предоставляет приложени- 
ям возможность задавать правила обработки пакетов потока абстрактно, не уточняя, в ка- 
кой таблице должно помещаться каждое правило. Драйвер может отказать приложению, 
обнаружив, что не может реализовать запрос слоя Ею\/ Оесиуе$ с помощью имеющегося 
в его распоряжении конвейера. 


Проблема разбора (анализа) заголовка пакета. Заголовок пакета может иметь весьма раз- 
нообразную структуру, она зависит от того, какие и в какой последовательности протоколы 
инкапсулированы в этот пакет. Как было показано выше, версия ОрепЕ]о\ 1.0 работает 
с так называемым эталонным заголовком пакета, включающим 11 полей достаточно типич- 
ного кадра: это кадр Еегпе с полем тега УТ.АМ, в который вложен пакет ІР с сегментами 
ТСР или ОШР Коммутатор ОҒ 1.0, пользуясь такой структурой заголовка, может коррект- 
но разбирать заголовки пакетов, но только этой структуры. Такой коммутатор не может 
выделять потоки по меткам МРІ5 или же по ГРуб адресам, он просто о них не знает. К тому 
же такая популярная инкапсуляция, как О-т-О, тоже не будет полностью поддерживаться, 
так как коммутатор знает только о теге УГ.АМ верхнего уровня, но не внутреннего. 


Чтобы повысить применимость коммутаторов, разработчики последующих версий про- 
токола ОрепЕю\ стали усложнять эталонный заголовок, так, в версии ОЕ 1.3 заголовок 
может состоять уже из 40 различных полей, включая поля протоколов МРІ5, АКР СМР 
и [Руб, ав ОЕ 1.5 — 44 поля. Но это не решает проблему окончательно: трудно учесть даже 
все популярные протоколы в некотором универсальном заголовке, не говоря уже о новых. 


Проблема масштабируемости. Каким бы мощным ни был сервер, на котором работают 
контроллер и приложения 50М№, его возможности ограничены, и, значит, существует 
предельное число управляемых коммутаторов, после которого действия контроллера 
становятся слишком медленными, а память исчерпывается. Централизованное управле- 
ние всегда страдает от недостаточной масштабируемости, будь то сервер баз данных или 
сервер службы Ю№. Это — та неизбежная плата за привилегию концентрировать вокруг 
себя все информационные потоки и принимать единоличные решения. Архитекторы 
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Интернета использовали иерархический подход к решению проблемы масштабирования 
централизованных решений, если они считались по каким-то причинам более выгодными, 
чем распределенные. Наиболее известным успешным случаем такого подхода является 
система ОМ$, построенная на иерархии серверов имен. Так же иерархически строятся 
справочные системы, например М!сгозой П!гессогу Ѕегуісеѕ, или системы управления се- 
тью ММ (см. главу 25). Но на момент написания этой книги иерархическая архитектура 
контроллеров ОЕ $ОМ не утвердилась и протокол взаимодействия контроллеров в такой 
иерархии не стандартизован, хотя отдельные инициативы в этой области от различных 
организации по стандартизации появлялись. Соответственно пока технология ОЕ 5ЮМ№ 
остается однодоменной. 


Прогресс в области производства микросхем за время, прошедшее с момента зарождения 
технологии ОЕ $О0М№, привел к тому, что стало возможным построение коммутатора на 
сравнительно недорогих программируемых микросхемах, в которых функции не являются 
фиксированными, так как реализуются процессорами. Возможность применения специа- 
лизированных пакетных процессоров в качестве основы коммутатора привело к появле- 
нию новой технологии $0ОМ — технологии Р4 50М№, которая является развитием ОЕ 50М 
и решает ее проблемы на другом уровне. 


Программируемые протокольно-независимые пакетные 
процессоры (Р4) 


Основу коммутатора технологии Р4 составляет программируемый пакетный процес- 
сор — микросхема, функциональные возможности которой программируются на пред- 
варительном этапе конфигурирования коммутатора. На этом этапе программист задает, 
какие поля заголовка пакета должны приниматься во внимание в правилах продвижения, 
какой набор условий и действий допускается применять в правилах продвижения, а также 
какой набор таблиц может поддерживать конвейер таблиц коммутатора. Упрощенно мож- 
но сказать, что программист может задать конфигурацию ОЕ-коммутатора определенной 
модели компании Сіѕсо, так как эта конфигурация в полной мере подходит требованиям 
приложения А, для приложения В — определить конфигурацию модели коммутатора НР, 
а для приложения С — создать уникальную конфигурацию, не встречавшуюся в моделях 
ОЕ-коммутаторов. После определения архитектуры коммутатора Р4 наступает второй 
этап, который соответствует этапу загрузки правил в ОЕ-коммутатор. На этом этапе при- 
ложение, работающее на котроллере, создает и загружает в таблицы коммутатора Р4 набор 
правил, определяющих способ обработки и продвижения пакетов при поступлении их 
на входные порты коммутатора. И наконец, на третьем этапе управления коммутатор Р4 
начинает обрабатывать пакеты в соответствии с загруженными в него правилами. Этапы 
работы коммутатора Р4 иллюстрирует рис. 16.10. 


На этапе конфигурирования разрабатывается программа Р4, которую компилятор Р4 
транслирует в двоичный код конфигурации. Этот двоичный код загружается в коммутатор, 
после чего он готов принимать правила продвижения пакетов и выполнять их в реальном 
времени. Программа Р4 состоит из нескольких секций: секции описателей полей заголовка, 
секции синтаксического анализатора (рагзег) заголовка, секции описания таблиц конвей- 
ера, секции условий и секции действий. Для описания элементов конфигурации язык Р4 
использует синтаксис, близкий к синтаксису языка программирования С. Например, из- 
вестные структуры заголовков Е{Бегпе и УГ.АМ описываются так: 
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Неадег еЁһегпе? { Леадег у1ап { 
+1е14$ { +1е14$ { 
4${_аа4г : 48; //размер поля в битах рср : 3; 
5гс_адаг : 48; СР. 1 
еїһег+уре : 16; уіа : 12; 
} еїһегіуре : 16; 
} } 

} 

Контроллер 50М 


Этап конфигурирования 


Программа Р4 Программа Р4 
Двоичный код 
конфигурации 


Этап управления 


Сетевые приложения | 


Сетевая ОС 


==> 


Интерфейс 
«контроллер- 
коммутатор» 


Р4.гипііте 
Интерфейс «контроллер- 
коммутатор» 
Таблицы продвижения 


Коммутатор 


Рис. 16.10. Программное конфигурирование коммутатора Р4 


Но одного описания структуры заголовков недостаточно для того, чтобы синтаксический 
анализатор коммутатора смог понять, в каком порядке заголовки различного типа сле- 
дуют друг за другом в общем заголовке пакета. Поэтому секцию заголовков дополняет 
секция синтаксического анализа, которая указывает, заголовок какого типа появляется 
в пакете первым и как можно узнать, каким является следующий заголовок. Например, 
кадр ЕФегпе* всегда начинается с заголовка еїћегпеї, поэтому первым оператором этой 


секции должен быть оператор 


рагѕег $Фаг+{ { 
еїћегпеї; 


} 


Тип следующего заголовка определяется значением поля еїһћегїуре заголовка еїћегпе+, 
например, значение 0х8100 или 0х9100 говорит о том, что следующим заголовком будет 
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заголовок уІап, а значение 0х8000 — заголовок 1ру4. На языке Р4 такие указания синтак- 
сического анализатору записываются так: 


рагзег ефпегпе{ { рагѕег \1ап { 
ѕміїсһ(еіһег?уре) { ѕміїсһ(еїһег+уре) { 
саѕе @х8100: у]ап; саѕе 0х9100: Уу1ап; 
саѕе 0х9100: у]ап; саѕе 090х800: 1ру4; 
саѕе 0х8000: іру4; // другие случаи 
//другие случаи } 

} } 

} 


Конструкция ѕміссһ-саѕе взята из языка С, в данном случае она говорит синтаксическому 
анализатору о том, какой тип будет у следующего заголовка при определенном значении 
поля еһћег+уре. 


Для реализации второго и третьего этапов можно было бы использовать уже существу- 
ющий протокол ОрепЕ]о\,, но архитекторы Р4 решили заменить его новым протоколом 
р4.гипите, так как в сообщениях ОрепЕ]о\ за типами заголовков и действий жестко 
закреплены определенные числовые значения и это делает его зависимым от конфигу- 
рации коммутатора. Программируемость архитектуры контроллера Р4 решает проблему 
унификации коммутаторов ОЕ — вместо описания всеобъемлющей архитектуры, которая 
должна включать все возможные варианты структуры заголовка пакета, все возможные 
условия и действия над пакетами, создается возможность запрограммировать желательную 
для определенного класса приложений архитектуру коммутатора. Во время написания 
книги коммутаторы Р4 еще не получили поддержки основных производителей сетевого 
оборудования, но ее гибкость и естественное развитие базовых принципов, заложенных 
в технологию ЗОМ ОрепЕТю\,, позволяют рассчитывать на ее успех в будущем. 


Мы описали две технологии 5ОМ, основанные на совершенно новой модели архитектуры 
коммутатора. Существует и более осторожный подход к воплощению идеи программ- 
но-определяемых сетей, развиваемый специалистами ІТЕЕ. Этот подход базируется на 
принятии решения о маршрутизации некоторым центральным элементом. называемым 
элементом вычисления маршрута (РСЕ, Ра Сотрщайоп Еіетепї). В сети ТЕТЕ $503 
используются традиционные маршрутизаторы, и в этом проявляется «осторожность» 
данного подхода, так как здесь не требуется замены традиционных устройств на устрой- 
ства совершенно нового типа. Для того чтобы маршрутизатор мог отработать маршрут, 
вычисленный РСЕ, он должен поддерживать маршрутизацию от источника — эту давно 
известную, но пока мало востребованную функцию маршрутизаторов. 


Виртуализация сетевых функций: МРУ 


Еще одним новым направлением обеспечения программируемости сетей наряду с рассмо- 
тренной концепцией программно-определяемых сетей 5ОМ является концепция виртуа- 
лизации сетевых функций (М№Меѓуогк ЕипсНоп Ушиа[зайоп, МЕУ). 


Эта концепции состоит в том, что функции сетевых устройств — маршрутизаторов, ком- 
мутаторов, файерволов и др. — реализуются не на основе аппаратной специализированной 
платформы, а программным путем в серверах общего назначения. 
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Можно считать подход МЕУ развитием популярной концепции виртуальных машин (УМ), 
согласно которой, напомним, за счет слоя виртуализации — гипервизора — на основе фи- 
зических ресурсов одного компьютера создается несколько виртуальных машин со своей 
собственной ОС и приложениями. В виртуальном мире МЕУ создаются программные еди- 
ницы, эмулирующие не только физический компьютер, но и физические сетевые устрой- 
ства, в результате чего программным путем создается виртуальная сеть, функционально 
аналогичная реальной сети. 


Центр данных 


Сервер 3 


а. 
/ \ (71) Виртуальные 
Виртуальная сетевые 
МЕУ-сеть № 1 Ел функции (УМЕ) 
@® . 
Входные 


и выходные 
потоки 


Рис. 16.11. Виртуальная МРУ-сеть М1 


Идею МЕУ иллюстрирует рис. 16.11. На нем мы видим три физических сервера, работаю- 
щих в центре данных некоторого провайдера услуг. Серверы соединены с внешним миром 
и между собой физическими связями, показанными на рисунке сплошными линиями. 
Эти физические связи образованы коммутаторами и маршрутизаторами центра данных, 
на рисунке они не показаны, так как их характеристики и структура связей не важны для 
нас — главное, что они позволяют серверам взаимодействовать друг с другом и с внеш- 
ним миром и создавать программным путем виртуальные сети для предоставления услуг 
пользователям. 


Для того чтобы провайдер мог сконфигурировать виртуальную сеть, пользователь должен 
описать функции этой сети. Описание может быть как формальным, то есть составлен- 
ным на некотором специальном языке описания алгоритмов обработки входных потоков 
данных, так и неформальным, когда пользователь описывает примерную структуру сети 
и ее функции, используя привычные ему блоки — маршрутизаторы и коммутаторы. В это 
описание должно также включаться описание возможных входных потоков для виртуаль- 
ной сети и правил их обработки. 


Рассмотрим пример такого неформального описания. Пусть пользователю необходимо 
иметь у провайдера два сервера приложений, на которых будут работать почтовые серверы 
и веб-серверы его предприятия. Пользователь хотел бы, чтобы провайдер обеспечил к этим 
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серверам доступ сотрудников предприятия, базирующихся на двух сайтах, которые будут 
соединены с центром данных провайдера через Интернет. К веб-серверам также должны 
иметь доступ все пользователи Интернета, но при этом их права должны быть ограни- 
чены просмотром только определенных страниц. Результатом обсуждения требований 
пользователя с провайдером стала виртуальная сеть М1, состоящая из элементов, выпол- 
няющих функции традиционных коммутаторов и маршрутизаторов, защищенная двумя 
файерволами (показана в нижней части рис. 16.11). Нужно подчеркнуть, что на этом этапе 
речь идет лишь об описании функций сети в терминах традиционных сетевых элементов, 
провайдеру еще предстоит реализовать эту сеть, пользуясь техникой МЕУ. Для реализации 
этой сети в каждом сервере провайдера имеется набор программных модулей, каждый из 
которых эмулирует некоторую сетевую функцию. Говорят, что такой элемент является 
виртуальной сетевой функцией (Уігіџа! Меѓмогк Еипсйоп, УМЕ). У серверов провайдера 
имеется библиотека программных модулей УМЕ пяти типов: 


О Е! — [Р-маршрутизатор; 


Ц Е2 — файервол (о его функциях см. главу 28, но для нашего примера достаточно знать, 
что это устройство блокирует трафик внешних атак на сеть); 


О ЕЗ — виртуальная машина под управлением ОС ОБиии; 
О Е4 — коммутатор Ефегпее; 
О Е5 — виртуальная машина под управлением ОС Сепфоз. 


Для создания требуемой сети в первом сервере активизированы экземпляры функций Е1 
и Е2, при этом между ними создается программная связь, по которой между ними будут 
передаваться данные. Во втором сервере активизированы два экземпляра функции ком- 
мутатора Есћегпеѓ Е4 и два экземпляра функции виртуальной машины под управлением 
ОС Сешо$, соединенные программными связями в соответствии с топологией создаваемой 
сети М1. 


Аналогичная работа выполнена и в третьем сервере. В результате виртуальная сеть М1 
приобрела законченный вид и готова обрабатывать реальные пакеты реального пользова- 
теля, приходящие от его сайтов, а также трафик внешних пользователей, то есть оказывать 
вполне определенную услугу. 


На рисунке также показано, что на первом и втором сервере провайдера активизированы 
функции, которые не принадлежат создаваемой виртуальной сети Мі. Это сделано для 
того, чтобы подчеркнуть тот факт, что на серверах провайдера одновременно сосуществуют 
виртуальные сети многих пользователей, провайдер может создавать их программно, не 
изменяя нижележащей аппаратной инфраструктуры. 


Заметим, нами пока использован привычный для специалиста по компьютерным сетям 
термин «виртуальная сеть» для описания результата связывания виртуальных функций 
друг с другом. В «новом мире» МЕУ принято говорить не о виртуальной сети, а о вир- 
туальной сетевой услуге, которую оказывает цепочка функций УМЕ (УМЕ сћаіп). Сам 
процесс связывания сетевых функций для образования законченной услуги называется 
оркестрированием (огсһеѕігайоп). Основными преимуществами виртуализации сетевых 
функций считаются: 


О Независимость от индивидуальной архитектуры традиционных сетевых устройств 
конкретного производителя, то есть возможность унификации функций и интерфейсов 
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менеджмента сетевых устройств в их программной реализации. Как видим, это та же 
цель, которую преследуют и создатели концепции программно-определяемых сетей 
ЗОМ, но достигается эта цель другими средствами. 


О Снижение стоимости сетевого оборудования, так как стандартные серверы обычно 
стоят дешевле специализированных аппаратных устройств — коммутаторов, маршру- 
тизаторов и др. (со сравнимой производительностью). 


О Повышение динамичности и простоты создания новых сетевых услуг провайдерами, 
так как новая услуга создается программным путем за счет связывания необходимых 
функций в нужную цепочку. 

О Простота создания новых сетевых функций, отвечающих требованиям новых сетевых 
приложений, — запрограммировать новую функцию в среде пих легче, чем реализо- 
вать ее на базе жесткой аппаратной платформы конкретного производителя. 


В то же время очевидны и недостатки подхода МЕҰ: 


С] Производительность программной реализации сетевой функции на базе универсально- 
го сервера может оказаться недостаточной, значительно уступающей производитель- 
ности специализированного устройства, такого как аппаратный маршрутизатор или 
коммутатор. Для обеспечения нужной производительности сетевые функции должны 
выполняться на кластерах серверов, возможно, распределенных между несколькими 
центрами данных. 


Надежность также может быть проблемой, поскольку специализированная аппаратура 
обычно имеет более высокую надежность, чем универсальные серверы. 


О Автоматизация процесса создания библиотек сетевых функций и оркестрирования их 
в сетевую услугу требует разработки новых стандартов и новых программных средств. 


Организация, которая первой в 2012 году сформулировала идею МЕУ, — Европейский ин- 
ститут телекоммуникационных стандартов ЕГЗ[ — предложила и стандартную архитекту- 
ру, которая описывает основные компоненты автоматизированной программной системы, 
"поддерживающей жизненный цикл создания услуг на основе сетевых функций УМЕ Эта 
архитектура получила название МЕУ МАМО — от МЕУ МАМ№аретепїі апа Огсһеѕѓгайоп, 
то есть менеджмент и оркестрирование МЕУ. 


Разработчики преследовали три основные цели: 

О полное разделение аппаратных и программных средств; 

Ц автоматическое и масштабируемое применение сетевых функций УМЕ; 
Ч детальный контроль состояния сети и сетевых функций. 


Три менеджера этой архитектуры контролируют различные слои сети. Менеджер вир- 
туализированной инфраструктуры сети контролирует нижний уровень — физические 
ресурсы сети и их отображение в виртуальные машины и виртуальные хранилища данных. 
Менеджер виртуальных функций контролирует процесс активизации и работы отдельных 
виртуальных функций УМЕ Менеджер верхнего уровня иерархии, или МЕУ-оркестратор, 
координирует процесс создания цепочек виртуальных функций для предоставления опре- 
деленной услуги сети. 


Архитектура МЕУ МАМО стандартизует интерфейсы между ее менеджерами и объекта- 
ми, которыми они управляют, что создает основу для разработки совместимых элементов 
этой архитектуры разными производителями и группами разработчиков. Институт ЕТЗ] 
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занимается также разработкой языка формального описания сетевых функций и услуг на 
их основе. 


Существуют различные программные реализации функций МЕУ и менеджеров архитек- 
туры МАМО, в том числе Ореп $оигсе МАМО (ОЗМ) от ЕТ. 


Технологии МЕУ и ОМ служат одной и той же цели — повышению гибкости и адаптивно- 
сти сети за счет программируемости. Эти технологии различны, но они хорошо дополняют 
друг друга. Они могут применяться независимо друг от друга, но могут и сосуществовать 
в одной сети. Так, коммутатор ОМ может служить одним из физических ресурсов сети, 
в этом случае контроллер $ОМ будет работать как отдельный элемент менеджера виртуа- 
лизированной структуры сети УМ. Коммутатор $ОМ может также быть реализован как 
сетевая функция УМЕ — в этом случае контроллер ЗОМ будет одним из элементов менед- 
жера виртуальных функций. 


ГЛАВА 17 1Руб как развитие 
стека ТСРЛР 


Исторические предпосылки 


В начале 90-х стек протоколов ТСР/ЛІР столкнулся с серьезными проблемами. Именно 
тогда началось активное промышленное использование Интернета: переход к построе- 
нию сетей предприятий на основе интернет-транспорта, применение веб-технологии для 
доступа к корпоративной информации, ведение электронной коммерции через Интер- 
нет, внедрение Интернета в индустрию развлечений (распространение видеофильмов, 
звукозаписей, интерактивные игры). Все это привело к резкому росту числа узлов сети, 
изменению характера трафика и ужесточению требований, предъявляемых к качеству 
обслуживания сетью ее пользователей. Сообщество Интернета, а вслед за ним и весь теле- 
коммуникационный мир начали решать новые задачи путем создания новых протоколов 
для стека ТСР/ТР, таких как протокол резервирования ресурсов КУР, защищенный 
протокол ІРЅес, протокол коммутации меток МРІ5 и т. п. Однако ведущим специали- 
стам было ясно, что только за счет добавления новых протоколов технологию ТСР/[Р 
развивать нельзя — нужно решиться на модернизацию сердцевины стека, протокола ІР. 
Некоторые проблемы нельзя было решить без изменения формата [Р-пакета и логики 
обработки полей заголовка ІР-пакетов. Наиболее очевидной проблемой такого рода была 
проблема дефицита ІР-адресов, которую невозможно снять, не расширив размер полей 
адресов источника и приемника. 


Наряду с добавлением новых функций непосредственно в протокол ІР, необходимо было 
обеспечить его тесное взаимодействие с новыми протоколами стека ТСР/ТР, что также 
требовало добавления в заголовок [Р новых полей, обработку которых осуществляли бы 
эти протоколы. Например, для работы КЗУР было желательно введение в заголовок ІР 
поля метки потока, а для протокола ІРЅес — специальных полей для передачи данных, под- 
держивающих функции обеспечения безопасности. После достаточно долгого обсуждения 
интернет-сообщество решило подвергнуть протокол ГР серьезной переработке. В качестве 
основных целей модернизации были выбраны следующие: 


создание масштабируемой схемы адресации; 
развитие способности сети к автоконфигурированию; 
сокращение объема работы, выполняемой маршрутизаторами; 


ооое 


предоставление гарантий качества транспортных услуг, 
О обеспечение защиты данных, передаваемых по сети. 


В августе 1998 года были приняты регламентирующие документы, определяющие как об- 
щую архитектуру новой, шестой версии протокола 1Руб (КЕС 8200), так и его отдельные 
аспекты, например систему адресации (КЕС 4291). 
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Система адресации 1Руб 


Отличие от 1Ру4 


Система адресации [Руб внесла существенные изменения в прежнюю систему. Прежде всего 
увеличилась разрядность адреса: вместо 4 байт ІР-адреса в версии [Ру4 в новой версии под 
адрес отведено 16 байт. Это дает возможность пронумеровать огромное количество узлов: 


340 282 366 920 938 463 463 374 607 431 762 211 456. 


Масштаб этого числа иллюстрирует, например, такой факт: если разделить это теоре- 
тически возможное количество [Р-адресов между всеми жителями Земли (а их сегодня 
примерно 6 миллиардов), то на каждого из них придется невообразимо, если не сказать 
бессмысленно, большое количество ІР-адресов — 5,7 х 1028! Очевидно, что такое значи- 
тельное увеличение длины адреса было сделано не только и даже не столько для снятия 
проблемы дефицита адресов. 


Главной целью изменения системы адресации было не механическое увеличение адресного про- 
странства, а повышение эффективности работы стека ТСРЛР в целом. 


В новой версии не поддерживаются классы адресов (А, В, С, О, Е), но широко использует- 
ся технология СТОК. Благодаря этому, а также усовершенствованной системе групповой 
адресации и введению адресов нового типа ГРуб может сократить затраты на маршру- 
тизацию. Произошли и чисто внешние изменения — разработчики стандарта предложили 
использовать вместо десятичной шестнадиатеричную форму записи [Р-адреса. Каждые 
четыре шестнадцатеричные цифры отделяются друг от друга двоеточием. Например, адрес 
[Руб может выглядеть так: ҒЕОС:0А98:0:0:0:0:7654:3210. Старшие нули в группе четырех 
шестнадцатеричных цифр могут быть опущены; так, вместо 0А98 можно писать А98. Не- 
сколько нулевых групп могут быть заменены парой двоеточий — ЕЕШОС:0А98::7654:3210. 
В адресе допускается только одна такая замена. Для сетей, поддерживающих обе версии 
протокола (1Ру4 и [Руб), разрешается задействовать для младших четырех байтов тради- 
ционную для [Ру4 десятичную запись: 0:0:0:0:0:ЕЕЕЕ:129.144.52.38. 


В [Руб расширился набор адресов разного типа, приписываемых одному сетевому интер- 
фейсу, каждый из которых используется для специфических целей. Для ГРу4 является 
обычной ситуацией, когда хост, имеющий один сетевой адаптер, получает один [Р-адрес. 
В ГРуб каждый интерфейс всегда получает несколько [Р-адресов. Например, всем интер- 
фейсам в сети [Руб автоматически приписываются адреса, которые они могут использовать 
для обмена локальным трафиком, а для глобального трафика назначаются дополнительные 
адреса, подобные публичным индивидуальным адресам ГРу4. Помимо стандартных (\еП 
Ккпомп) групповых адресов, каждый интерфейс имеет особый групповой адрес, идентифи- 
цирующий группу, состоящую только из него самого. Эти, а также другие типы адресов 
интерфейса направлены на достижение конкретных целей: уменьшение вспомогательного 
трафика, отказ от широковещательной рассылки (в том числе и на канальном уровне), 
поддержка автоконфигурации и др. 


Важным усовершенствованием в системе адресации ІРу6б стало введение для каждого адре- 
са признака области действия адресов (ѕсоре), определяющего ту часть сети, в пределах 
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которой этот адрес является действительным и уникальным. Так, пакет с адресом уровня 
линии связи! (11пКк-Іоса]) может использоваться в коммуникациях смежных узлов, но 
будет отвергнут первым же маршрутизатором на пути в другой сегмент сети, так как об- 
ласть действия этого адреса ограничена линией связи. Как известно, в ІРу4 также имеются 
адреса, область действия которых различается, — публичные адреса, используемые в сетях, 
подсоединенных к Интернету, и частные адреса (сетей 10.0.0.0 и др.) для внутренних целей. 
Если пакет с частным адресом поступит (по ошибке) на внешний маршрутизатор, то он 
в общем случае может быть передан дальше в публичную сеть. 


В ТРуб дело обстоит по-другому. Маршрутизаторы и хосты в сети [Руб рассматривают каж- 
дый адрес в совокупности с определенной для него областью действия. При поступлении 
на маршрутизатор пакета с адресом, область действия которого ограничена внутренней 
сетью предприятия, маршрутизатор не пропустит его в Интернет, где действительны 
адреса с глобальным признаком области действия. Хосты также принимают во внимание 
область действия адресов. Хост, формируя пакет, учитывает области действия адресов. На- 
пример, он не должен отправлять пакет, в котором адрес назначения глобальный, а адрес 
источника — адрес уровня линии связи. Поскольку признак ѕсоре определяет ту часть сети, 
в которой тот или иной адрес должен быть уникальным, то один и тот же индивидуальный 
адрес может использоваться разными хостами в разных частях сети. 


И наконец, одним из наиболее полезных свойств технологии ГРуб является развитая спо- 
собность сетевых устройств [Руб к автоконфигурированию даже при отсутствии ОНСР- 
серверов. По умолчанию каждый хост [Руб может при подключении к сети автоматически 
конфигурировать интерфейсы, основываясь на МАС-адресе своего сетевого адаптера 
и информации, предоставляемой соседними маршрутизаторами. 


Типы адресов 1Руб 


В ГТРуб предусмотрены три основных типа адресов (КЕС 4291): 


О Индивидуальный адрес (ипісаѕї), как и в версии ІРу4, является уникальным идентифи- 
катором отдельного интерфейса конечного узла или маршрутизатора. Существуют не- 
сколько типов индивидуальных адресов. Некоторые из них (5Ке-оса|, ІРу4-СотрайЫе 
адреса) уже успели устареть и не рекомендуются к использованию в новых разработках, 
другие — как, например, глобальный индивидуальный адрес или адрес уровня линии 
связи (1іпк-І.оса!ї ипісаѕё) — активно используются. 


О Групповой адрес (тшісаѕі) аналогичен по назначению групповому адресу 1Ру4 — он 
идентифицирует группу интерфейсов, относящихся, как правило, к разным узлам. 
Пакет с таким адресом доставляется всем интерфейсам, имеющим аналогичный адрес. 
Групповые адреса в некоторых случаях выполняют функцию отсутствующих в [Руб 
широковещательных адресов. 


О Адрес произвольной рассылки (апусаѕі), как и групповой адрес, определяет группу 
интерфейсов, но, в отличие от группового адреса, пакет, в поле адреса назначения 
которого стоит адрес произвольной рассылки, доставляется одному из интерфейсов 
группы, как правило, «ближайшему» в соответствии с метрикой, используемой про- 


1 В данном случае термин «линия связи» соответствует определению, данному в разделе «Стек ТСР/ 
ІР» главы 13. 
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токолами маршрутизации. Синтаксически адрес произвольной рассылки ничем не 
отличается от индивидуального адреса — он назначается из того же диапазона адресов, 
что и индивидуальные адреса. Адрес произвольной рассылки может быть назначен 
только интерфейсам маршрутизатора. Интерфейсы маршрутизаторов, входящие в одну 
группу адресов произвольной рассылки, имеют помимо индивидуальных адресов еще 
и общий для всех них адрес произвольной рассылки. Адреса такого типа ориентированы 
на маршрутизацию от источника, когда маршрут прохождения пакета определяется 
узлом-отправителем путем указания в поле параметров пакета [Р-адресов всех проме- 
жуточных маршрутизаторов. Например, провайдер может присвоить всем своим марш- 
рутизаторам один и тот же адрес произвольной рассылки и сообщить его абонентам. 
Если абонент желает, чтобы его пакеты передавались через сеть этого провайдера, то ему 
достаточно указать этот адрес произвольной рассылки в цепочке адресов маршрута от 
источника, и пакет будет передан через ближайший маршрутизатор этого провайдера. 
В ГРуб так же, как в ГРУ4, определены особые адреса: 


Неопределенный адрес (ипѕресіћеа аайгеѕѕ) 0:0:0:0:0:0:0:0 никогда не назначается и обо- 
значает отсутствие адреса. Например, все пакеты, посылаемые хостом, который находится 
в состоянии инициализации и еще не имеет адреса, содержат в поле адреса источника 
неопределенный адрес — 128 нулей. Неопределенный адрес не может быть использован 
в качестве адреса назначения. 


Адрес обратной петли (ІоорБаск айЯгеѕѕ) 0:0:0:0:0:0:0:1 в ГТРуб используется узлом для 
того, чтобы посылать пакеты самому себе. Пакеты с адресом обратной петли в поле адреса 
источника или адреса назначения отбрасываются маршрутизаторами. 


Тип адреса определяется значением нескольких старших битов адреса, которые называются 
префиксом формата (ЕР) (см. табл. 17.1). 


Таблица 17.1. Префиксы формата ІРуб-адресов 


формата в формате [Руб 


Глобальный индивидуальный адрес Все остальные значения С Б 


Индивидуальные адреса 


Индивидуальные адреса делятся на: 


О глобальные индивидуальные адреса (5|оЪа| ипісаѕї), предназначенные для использо- 
вания в Интернете; область действия этих адресов не ограничена; 


О индивидуальные адреса уровня линии связи (1іпк-Іоса! ип1са$(), называемые также 
локальными адресами или адресами уровня подсети, предназначены для локального 
использования; область действия этих адресов ограничена соответствующей линией 
СВЯЗИ. 
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3 бита 45 бит 16 бит 64 бита 


Идентификато - 
д Ф р Идентификатор интерфейса 
подсети 


(дІораі гоиїпа ргейх) (зибпе 10) (іпїегѓасе 10) 


Глобальный префикс маршрутизации 


Рис. 17.1. Формат глобального индивидуального адреса 


Глобальный индивидуальный адрес состоит из трех полей (рис.17.1): Глобальный префикс 
маршрутизации (45 бит) представляет собой общую часть адресов, которыми располагает 
организация или поставщик услуг Интернета, наделяющие адресами клиентов. Глобальный 
префикс, как правило, имеет иерархическую структуру, состоящую из префиксов адресов 
провайдеров разного уровня. Эта структура описывает так называемую топологию публич- 
ной сети (мы рассматривали этот вопрос при изучении технологии СТОК). 


Идентификатор подсети (16 бит) предназначен для адресации подсетей отдельного 
клиента, например подсетей одной корпоративной сети. Эта работа выполняется админи- 
стратором сети. Структуризация, выполненная на основе поля идентификатора подсети, 
отражает топологию частной сети. 


Идентификатор интерфейса (64 бита) предназначен для адресации отдельного интерфейса 
в пределах подсети. 


Старшая часть адреса, состоящая из глобального префикса маршрутизации и идентифи- 
катора подсети, является аналогом номера сети ГРУ4 и используется для маршрутизации. 
Оставшиеся 64 бит отводятся под идентификатор интерфейса, который здесь является 
аналогом номера узла в [РУ4. 


ПРИМЕЧАНИЕ 


Можно заметить, что в трех старших битах глобального индивидуального адреса на рис. 17.1 помещен 
код 001, в то же время из табл. 17.1 следует, что префикс адресов этого типа может принимать любые 
значения, кроме трех, перечисленных в этой таблице. Это противоречие объясняется тем, что [АМА 
(Пцегпе Аѕѕівпей МитђБегѕ Аифогку) — центральный орган Интернета, ответственный за распреде- 
ление адресов, принял решение о резервировании большей части (85 %) адресного пространства ГРуб 
для будущих применений, оставив для текущего использования «только» блок адресов с первыми 
битами 001. Поэтому в современном Интернете большая часть глобальных индивидуальных адресов 
ГРуб имеет префикс 2001::/16. 


Отметим, что, в отличие от системы адресации 1РУ4, в которой размерность поля номера 
узла является переменной и зависит от того, каким образом сеть клиента разделена на под- 
сети, в [Руб размерность поля идентификатора интерфейса фиксирована и всегда равна 
64 битам. В ТРуб-адресах в полное распоряжение клиента поступают 2 байта для нумерации 
сетей и 8 байт для нумерации узлов. Имея такой огромный диапазон адресов, администра- 
тор получает широкие возможности. Для сравнительно небольшой сети он может выбрать 
плоскую организацию, назначая каждой имеющейся подсети произвольные неповторяю- 
щиеся значения из диапазона в 65 535 адресов, игнорируя оставшиеся. В крупных сетях 
более эффективным способом (сокращающим размеры таблиц корпоративных маршру- 
тизаторов) может оказаться иерархическая структуризация сети на основе агрегирования 
адресов. В этом случае используется та же технология СТОК, но уже не поставщиком услуг, 
аадминистратором корпоративной сети. Очевидно, что при таком изобилии сетей, которое 
предоставляется клиенту в ГРуб, совершенно теряет смысл операция использования масок 
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для разделения сетей на подсети, в то время как обратная процедура — объединение под- 
сетей — приобретает особое значение. 


Однако чрезмерно большая размерность поля идентификатора интерфейса рассматривается 
разработчиками технологии |Р\б не только и не столько как возможность нумерации большого 
числа интерфейсов, но как основа для работы процедур автоматической конфигурации адресов, 
а также для предоставления администратору большей свободы при назначении адресов. 


В то время как администратор 1Ру4 обычно назначает адреса интерфейсам в виде непре- 
рывной последовательности чисел из диапазона адресов, имеющегося в его распоряжении, 
администратор [Руб может позволить себе следовать любому правилу генерирования 
адресов для интерфейсов при выполнении только двух условий: они должны состоять из 
64 битов и не должны повторяться. Для их создания даже может использоваться генератор 
случайных чисел. Идентификатор интерфейса может быть назначен вручную админи- 
стратором, либо получен от ОНСР-сервера, либо сгенерирован автоматически на основе 
МАС-адреса сетевого адаптера. Идентификатор интерфейса имеет длину, позволяющую 
поместить туда МАС-адреса стандартов ІЕЕЕ 802 (48 бит) или ЕОІ-64 (64 бита), адрес 
конечного узла АТМ (48 бит) или просто серийный номер устройства. 


При автоматическом конфигурировании интерфейсов младшую часть адреса — иден- 
тификатор интерфейса — узел узнает от аппаратуры (сетевого адаптера и т. п.), а стар- 
шую — префикс — ему сообщает маршрутизатор. Процедура преобразования МАС-адреса 


Исходный МАС-адрес 00-80-48 ЕВ-7Е-60 


ЕЕ ЕЕ 


| этап — вставка двух байтов ЕЕ ЕЕ 00-80-48 % # ЕВ 7Е 60 


} 


0000000 


| этап – изменение бита 
в старшем байте | 
0000010 


В физического 02-80-48 ЕЕ: ЕЕ ЕВ-7Е-60 
интерфейса в стандарте ЕЦОІ-64 
Префикс адреса ІРуб 0280:48ЕЕ:РЕЕВ:7ЕбО 


Идентификатор интерфейса на основе 


МАС-адреса | 


і 


Адрес 1ІРу6б 


Рис. 17.2. Отображение МАС-адреса на идентификатор интерфейса 
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в идентификатор интерфейса (рис. 17.2) является несколько более сложной, чем просто 
размещение 6 байт МАС-адреса в 8-байтовом поле идентификатора интерфейса. 


Во-первых, между двумя частями МАС-адреса вставляются дополнительные два байта ЕЕ 
и ЕЕ, и во-вторых, меняется значение одного бита старшего байта. Такое усложнение объ- 
ясняется тем, что два десятка лет назад, когда возникли первые опасения относительно воз- 
можного истощения 6-байтового адресного пространства МАС-адресов, институт ІЕЕЕ раз- 
работал другой стандарт адресации сетевых интерфейсов — Е0О1-64 64-Вк (Ежепаде4 Опідие 
Чепийег), в соответствии с которым в качестве канальных адресов используются 8-байтовые 
числа. Этот стандарт все еще не поддерживается технологией Ефегпе( — адреса всех сетевых 
адаптеров и соответствующие поля в кадре Ефегпе по-прежнему имеют длину 6 байт, однако 
он применяется в [Руб для получения идентификатора интерфейса (КЕС 2373). 


Итак, после выполнения описанных манипуляций над МАС-адресом 00-80-48-ЕВ-7Е-60 
получается уникальный идентификатор интерфейса 280:48ЕЕ:ЕЕЕВ:7960. Добавив к иден- 
тификатору интерфейса префикс сети, например 2001:718::/64, система автоконфигуриро- 
вания получает глобальный уникальный адрес 2001:718::280:48ҒЕ:ЕЕЕВ:7960. 


10 бит 54 бита 64 бита 
Префикс 


формата Нулевое поле 0000000...0 Идентификатор интерфейса 
1111 1110 10 


Рис. 17.3. Формат адреса уровня линии связи 


Другим типом индивидуальных ГРуб-адресов являются адреса уровня линии связи 
(рис. 17.3). Адреса данного типа не маршрутизируются — они используются локально, то 
есть при передаче трафика в пределах подсети. Областью действия (ѕсоре) адреса уровня 
линии связи является эта же линия связи. Они автоматически назначаются каждому 
интерфейсу ГРуб, даже тому, который не имеет глобального индивидуального адреса!. 
Для рассмотренного выше примера, в котором идентификатор интерфейса имеет значе- 
ние 0280:48ЕЕ:ЕЕЕВ:7Е60, индивидуальный адрес уровня линии связи будет выглядеть 
следующим образом: ЕЕ80::0280:48ЕЕ:ЕЕЕВ:7Е60, где ЕЕ80::/64 — стандартный префикс 
формата для адресов данного типа. 


Подобно частным адресам протокола ІРу4 (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16), 
в шестой версии вводятся уникальные адреса для локального использования (Опідие 
Іоса] аййгеѕѕеѕ) с префиксом ЕС00::/7. Областью действия этих адресов является вну- 
тренняя сеть предприятия, они не управляются централизованно и не маршрутизируются 
во внешних сетях. 


Групповые адреса 


Групповые адреса в [Руб (ВЕС 7346) используются таким же образом, что и в [РУ4, но 
играют более важную роль, хотя бы потому что здесь они используются вместо широко- 
вещательной рассылки. На рис. 17.4 показан формат группового адреса. 


і Адреса уровня линии связи 1Руб аналогичны адресам АРІРА (Ашюотайс Ргіуаѓе ІР А99гез1тв), 
используемым в ОС Мггозой для автоматического конфигурирования интерфейсов. 
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8 бит 4 бит 4 бит 80 бит 32 бита 


Префикс | 


Признак Идентификато 
формата Флаги | . Нулевое поле 0000000...0 б Ф А 


т  зсоре группы 


Рис. 17. 4. Формат группового адреса |Руб 


Поле флагов состоит из 4 бит, из которых в настоящее время используется только один: 
установленный в 1, он указывает, что номер группы в этом адресе является постоянным, 
ав 0 — временным. 

В 1Рру6 групповой адрес имеет явно указываемый признак ѕсоре, отсутствующий в груп- 
повом адресе версии [РУ4 (табл. 17.2). Значения первых двух признаков, Ицегасе-Г.оса!| 
и 1пКк-ГосаЇ, устанавливаются автоматически, а двух оставшихся — вручную, в процессе 
конфигурирования линий связи. 


Таблица. 17.2. Области действия групповых адресов 


ѕсоре Область действия адреса 
іпегѓасе-Іоса! ѕсоре — область действия, ограниченная одним интерфейсом 


іпКк-Јоса! ѕсоре — область действия, ограниченная линией связи 
Е ограпіғаќіоп-Іоса! ѕсоре — область, включающая несколько сайтов, относящихся к одной 


организации 


2]оБа] ѕсоре — область действия не имеет ограничений, адреса действительны во всем 
Интернете 1Руб 


Идентификатор группы может быть постоянным (ме! Кпоуп) или временным ((гапѕіепі). 
Примером постоянной группы является ::1 (все узлы) и ::2 (все маршрутизаторы). С учетом 
префикса и значения битов, указывающих на область действия группового адреса, получаем: 


ЕЕ02::1 — адрес группы, состоящей из всех узлов линии связи; 
ЕЕ02::2 — адрес группы, состоящей из всех маршрутизаторов линии связи. 


Из определения следует, что адрес ЕЕ02::1 заменяет широковещательный адрес 
255.255.255.255 ІРо4. 


Изначально стандарт определял поле идентификатора группы длиной 112 бит. Но затем 
была выпущена рекомендация, ограничивающая это поле 32 битами. Это связано с тем, что 
групповая рассылка включает отображение группового адреса сетевого уровня на группо- 
вой МАС-адрес. Для этих целей в адресном пространстве Е(ћегпеё выделен специальный 
диапазон групповых адресов — МАС-адреса вида 33-33-хх-хх-хх-хх, где младшие 4 байта 
отводятся под младшие 4 байта группового адреса 1Руб. Таким образом, уменьшение числа 
возможных номеров групп с 2112 до 232 позволило однозначно отображать номера групп 
на МАС-адреса. 


Особым, не существующим в [Ру4 видом группового адреса является групповой адрес 
запрашиваемого узла (Зойсцед-Мо4е Миса$е АаЯгеѕѕ, ЭММА). Адрес этого типа исполь- 
зуется в тех случаях, когда некоторый узел делает запрос к другому узлу, для которого он 
знает только индивидуальный ІР-адрес, но не знает МАС-адрес. В 1РуУ4 такого рода запро- 
сы посылаются с широковещательным МАС-адресом. В результате все сетевые адаптеры 
в локальном сегменте получают кадр с этим запросом, извлекают ІР-пакет, передают его 
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«наверх» для анализа ІР-адреса назначения. После этого все узлы, кроме узла назначения, 
отбрасывают пакет. Таким образом, запрос «беспокоит» все узлы данного сегмента локаль- 
ной сети (включая даже те, на которых не установлен протокол ІР). 


В ГТРуб данная процедура выполняется более эффективно. Вместо широковещания на 
канальном уровне здесь используется особый вид групповой рассылки. Запрашиваемо- 
му узлу (ѕ01ісіќеа пое) назначается групповой ІР-адрес ММА, определяющий группу, 
в которую с высокой степенью вероятности входит только один этот узел. Как и всякий 
другой групповой ІР-адрес, адрес ЭММА отображается на соответствующий групповой 
МАсС-адрес. Несколько упрощая, можно сказать, что запрос, у которого в качестве адресов 
назначения сетевого и канального уровня указаны эти два групповых адреса, обрабатыва- 
ется одним сетевым адаптером, что позволяет избежать излишнего вмешательства в работу 
всех остальных узлов на данной линии связи. 


Групповой адрес 5ММА автоматически генерируется для каждого индивидуального адреса, 
назначенного интерфейсу, путем присоединения префикса ЕЕ02:0:0:0:0:1:ЕЕ00::/104 к трем 
его младшим байтам. По значению префикса можно увидеть, что адреса этого типа являют- 
ся локальными, то есть действительны в области, ограниченной одной линией связи. Если 
некоторому интерфейсу назначается индивидуальный адрес 2001:630::0А98:7654:3210, то он 
сразу получает и соответствующий групповой адрес запрашиваемого узла, который в дан- 
ном случае равен ЕЕ02:0:0:0:1:ЕЕ54:3210. Тем самым интерфейс автоматически становится 
членом группы, идентификатор которой включает часть его индивидуального адреса. Эта 
группа, скорее всего, состоит только из него самого, хотя вероятность того, что в данной 
локальной сети может обнаружиться другой узел, у которого три младших байта имеют 
то же самое значение, не нулевая. 


Типичный набор адресов интерфейса 1Руб 


В табл. 17.3 приведен типичный набор адресов, которые в сети ГРуб имеет интерфейс хоста. 
Помимо компьютера в качестве хоста выступают, например, принтер, телефон или другое 
устройство, которое не осуществляет маршрутизацию. Примеры адресов даны, исходя из 
следующего: хост оснащен одним сетевым адаптером с МАС-адресом 00:2А:0Е:32:5Е:01, 
состоит в двух подсетях — 2001:А:В:С::/64 и 2001:А:В:1::/64, участвует в группе ЕЕ15::1:2:3. 


Таблица 17.3. Набор адресов одного интерфейса хоста 


Тип адреса Пример адреса 


Индивидуальный адрес уровня линии связи (1іпк-Іоса! | ЕЕ8О::22А:ЕЕЕ:РЕЗ2:5Ер1 
ипісаѕі) 


Назначенные или сконфигурированные индивидуаль- | Два сконфигурированных адре- 
ные адреса (оипісаѕї) са 2001:А:В:С:22А:ЕҒЕ:ЕЕЗ2:5Е01 
и 2001:А:В:1:22А:РЕЕ:ЕЕЗ2:5Ер1 


Назначенные или сконфигурированные групповые Сконфигурированный групповой адрес 
адреса (ти!Їбісаѕі) ЕЕ15::1:2:3 


Групповой адрес для стандартной группы «все узлы» ЕЕ01::1 (область действия — интерфейс) 
(а|-подез тиќісаѕі) и ЕЕ02::1 (область действия — линия связи) 


Групповой адрес запрашиваемого узла (501ісісеі-пойе ЕЕ02::1:ЕЕЗ2:5ЕРІ 
ти1(ісаѕі) 
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Интерфейсы маршрутизаторов, кроме перечисленных в таблице, имеют дополнительные 
адреса, в число которых входят групповые адреса «все маршрутизаторы» и адреса про- 
извольной рассылки (апусаз(). Наличие большого числа адресов для одного интерфейса 
рождает новые проблемы. Какой из адресов должен быть использован в одном случае, 
а какой — в другом? Некоторые правила, которыми следует руководствоваться при от- 
вете на этот вопрос, приводятся в КЕС 3484. Далее, в разделе «Протокол обнаружения 
соседей МО», мы рассмотрим пример использования разного типа адресов. 


Формат пакета 1Руб 


Одной из основных целей изменения формата заголовка протокола [Руб было сокращение 
накладных расходов, то есть уменьшение объема служебной информации, передаваемой 
с каждым пакетом. Для этого в новом протоколе ІР были введены понятия основного и д0- 
полнительных заголовков. Основной заголовок присутствует всегда, а необязательные 
дополнительные заголовки включаются в пакет при необходимости. Они могут содержать, 
например, информацию о фрагментации пакета, полный маршрут следования пакета при 
маршрутизации от источника, информацию, необходимую для защиты передаваемых 
данных, и др. 


На рис. 17.5 показан пример структуры пакета 1Руб, в котором представлены все допол- 
нительные заголовки. В действительности пакеты [Руб могут иметь один, несколько или 


Поле 
след. заголовок 


Основной заголовок ІРм6б 
(1Руб Неадег) 


Заголовок транзитных опций 
(Нор-Бу-Нор һеааег) 


Заголовок опций узла назначения 
(Оеѕііпаіоп Орйоп һеааег) 


Ссылки на 
следующий 
заголовок 


Заголовок маршрутизации 
(Роийпд Пеадег) 


Заголовок фрагментации 
(Егадтепї Пеадег) 


Дополнительные заголовки 
Пакет ІРу6б 


Заголовок аутентификации 
(АшПепйсайоп Пеадег) 


Заголовок поля безопасных вложений 
(Епсарѕиіаќіпадһеааег) 


Поле данных протокола 1Руб 


Протокольная единица вышележащего уровня 
(дейтаграмма ЦОР, сегмент ТСР, 
пакет ІСМР и др.) 


Рис. 17. 5. Структура пакета |Руб 
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совсем не иметь дополнительных заголовков. Каждый заголовок в этой последовательности 
указывает на то, какой именно заголовок должен идти следующим, поместив в своем поле 
пех һеаает код, закрепленный за данным типом заголовка. Так, код 0 в основном заголовке 
указывает на то, что за ним должен следовать заголовок транзитных опций, а код 60 в за- 
головке транзитных опций указывает на заголовок опций узла назначения. 


Основной заголовок 


Основной заголовок имеет фиксированную длину в 40 байт и включает следующие поля 
(рис.17.6): 


4 байта 


дана 
ПЕЕ 
О 
аа 
ты: = 8 


Рис. 17. 6. Формат основного заголовка 


40 байт 


О Поле версия протокола (уегѕіоп) занимает 4 бита и равно номеру версии — 6. 


О Класс трафика (гас с1аѕѕ) занимает 8 бит. Это поле аналогично полю «Тип сервиса» 
в ІРру4 и может быть использовано для разбиения трафика на небольшое количество 
агрегированных классов обслуживания с различным уровнем 00$. 


О Метка потока (Поу 1ађБе], 20 бит) указывает на принадлежность пакета к тому или 
иному потоку. Поле «Метка потока», отсутствующее в протоколе [Ру4, позволяет 
выделить из общего трафика индивидуальные потоки и обслуживать их отличным от 
других пакетов способом. Отличие может заключаться в обеспечении индивидуального 
уровня (оѕ или же в индивидуальном маршруте потока. В узле-источнике всем пакетам 
потока, для которого требуется особое обслуживание, присваивается значение метки, 
вычисленное как ненулевое псевдослучайное число. 


Маршрутизатор, получив пакет с ненулевым и неизвестным ему значением поля метки, 
обрабатывает этот пакет так же, как и пакеты с нулевой меткой. Он просматривает все 
заголовки пакета и на основе полученной информации выполняет требуемые действия. 
Например, по адресу назначения маршрутизатор определяет адрес следующего маршрути- 
затора, анализируя поле класса трафика, решает, в какую приоритетную очередь поместить 
пакет, и т. п. Затем на основании предписанной ему политики маршрутизатор решает, 
обслуживать ли все пакеты с такой меткой, как поток. Если да, то маршрутизатор делает 
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в кэш-памяти запись, содержащую сведения об обработке этого пакета, позволяющие 
выполнить обработку следующих пакетов с этой же меткой ускоренным образом. Запись 
индексируется значением метки и адресом источника. Когда следующий пакет потока 
поступает на маршрутизатор, из кэша извлекается соответствующая запись и для пакета 
выполняется ускоренная процедура обработки, при которой, например, вместо поиска 
адреса следующего маршрутизатора в таблице он просто извлекается из кэша, а вместо 
анализа поля класса обслуживания пакет направляется в ту же приоритетную очередь, 
что и первый пакет потока. Время жизни записи в кэш-памяти ограничено несколькими 
секундами; затем запись удаляется, метка снова становится неизвестной маршрутизатору, 
и вся процедура повторяется с самого начала. 


Длина поля данных (рауоа4 Іепеёћ, 16 бит). Число, которое содержится в этом поле, опреде- 
ляет количество байтов, занимаемое всеми дополнительными заголовками и протокольной 
единицей данных вышележащего уровня. Максимальное значение этого поля равно 65 535. 
ГРуб допускает существование пакетов с более длинным полем данных, так называемых 
сверхбольших дейтаграмм, или джамбограмм (латБоргат5з). В этом случае для задания 
длины используется 32-двухразрядное поле одной из опций дополнительного заголовка 
транзитных опций Бор-Бу-Бор. 


Следующий заголовок (пех( Пеа4ет, 8 бит). Это поле соответствует по назначению полю 
«протокол верхнего уровня» в версии ІРу4 и содержит код, определяющий тип заголовка, 
который следует за текущим. Каждый следующий дополнительный заголовок также со- 
держит поле следующего заголовка. Если ГРуб-пакет не содержит дополнительных заго- 
ловков, то в этом поле будет значение, закрепленное за протоколом ТСР, (ОР КІР, ОЗРЕ 
или другим, определенным в стандарте [Ру4. 


Предельное число шагов (Бор 1іті, 8 бит). Это поле за небольшим исключением аналогично 
полю времени жизни ТТТ. протокола [РУ4: при прохождении каждого маршрутизатора из 
значения этого поля вычитается единица. Когда оно становится равным 0, маршрутизатор 
отбрасывает пакет и посылает ІСМР-сообщение о превышении предельного числа шагов. 
Максимальное значение поля равно 255. 


Поля адреса источника и адреса назначения занимают по 128 бит. 


Дополнительные заголовки 


В стандартах протокола [Руб фигурируют следующие типы дополнительных заголовков: 


О заголовок транзитных опций (Бор-Бу-Бор орйопѕ) — параметры, используемые при 
обработке пакетов маршрутизаторами; 


О заголовок опций места назначения (Яеѕііпабіоп орИоп) — дополнительная информация 
для промежуточных или финального узлов назначения; 


О заголовок маршрутизации (гоиип8) содержит в поле данных последовательность [Руб- 
адресов всех промежуточных узлов, которые должен пройти пакет на пути от источника 
до места назначения; такой способ задания маршрута называют маршрутизацией от 
источника; 


О заголовок фрагментации (Еазтепе) — информация, относящаяся к фрагментации ІР- 
пакета (поле обрабатывается только в конечных узлах); 


О заголовок аутентификации (аџќћепіісайоп) — информация, необходимая для аутенти- 
фикации конечных узлов и обеспечения целостности содержимого ІР-пакетов; 
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О заголовок поля безопасных вложений (епсарзи]а ит зесигКу рау|оа4) — информация, 
необходимая для обеспечения конфиденциальности передаваемых данных путем шиф- 
рования и дешифрирования. 


В каждом узле, лежащем на пути перемещения пакета по сети, дополнительные заголовки 
обрабатываются строго в той последовательности, в которой они представлены в пакете. 
Хотя стандарты ГРуб не предъявляют жестких требований к порядку следования заго- 
ловков, большинство производителей сетевых средств придерживаются в этом вопросе 
рекомендаций КЕС 8200 (именно в этом рекомендуемом порядке дополнительные заго- 
ловки перечислены выше). Составляя рекомендации, разработчики учитывали влияние 
порядка следования заголовков на производительность обработки пакетов. Так, например, 
заголовок транзитных опций, если он присутствует, должен всегда идти первым после 
основного заголовка, поскольку информация, которую он несет, может анализироваться 
и обрабатываться каждым узлом на пути пакета. Дополнительные заголовки могут иметь 
как переменную длину (заголовки транзитных опций и опций места назначения), так 
и фиксированную длину (все остальные заголовки). 


Как заголовок транзитных опций, так и заголовок опций места назначения может вклю- 
чать переменное число информационных структур — опций, обрабатываемых в порядке 
их следования в заголовке. Каждая опция состоит из трех полей: 


О Тип опции состоит из 8-битового кода, который, помимо указания на собственно тип 
опции, говорит маршрутизатору, может ли в результате обработки этой опции изме- 
ниться маршрут следования данного пакета, а также что он должен сделать с пакетом, 
если не распознает тип опции: пропустить опцию, отбросить пакет или отбросить пакет 
и послать ІСМР-сообщение. 


О Длина поля данных опции (8 бит), которая содержит число, указывающее длину опции 
в байтах без учета длины первых двух полей. 


Ц Данные опции — поле переменной длины, содержащее информацию, специфичную для 
конкретного типа опции. 


На рис. 17.7 показан формат заголовка транзитных опций: 


Поле ’ Длина 
следующего ‘’ заголовка 
заголовка транзитных 
(Мех Неадег) | опций 


Опция 3 


Тип | Длина Данные 
опции1 опцииї опции 1 


Рис. 17.7. Формат заголовка транзитных опций 


Рассмотрим одну из опций этого заголовка — опцию сверхбольшого поля данных (ито 
РауІоаа Орбііоп), которая позволяет передавать джамбограммы (1Руб-пакеты, поле дан- 
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ных которых превышает 65 535 байтов, максимально допустимую длину, определяемую 
основным заголовком). Необходимость в таких пакетах может возникать, например, при 
передаче данных, производимых суперкомпьютерами. Узел может передавать джамбограм- 
мы только при условии, что он подсоединен к сети линией связи, имеющей МТО больше 
65 575 (65 535 байтов поля данных плюс 40 байтов заголовка). Поле длины в основном за- 
головке пакета, несущем данную опцию, должно быть нулевым. Когда узел [Руб получает 
пакет с нулевыми значением длины и нулевым значением в поле пехі Беа4ег, он понимает, 
что длину поля данных данного пакета надо определять на основе данных заголовка тран- 
зитных опций, который следует сразу за основным заголовком. Опция сверхбольшого поля 
данных имеет следующие значения полей: тип опции — 194, длина опции — 4 байта, данные 
опции — число из интервала (216 — 232), равное длине джамбограммы в байтах. 


Снижение нагрузки на маршрутизаторы 


Поскольку для маршрутизации пакета обязательным является лишь основной заголовок (боль- 
шинство дополнительных заголовков обрабатывается только в конечных узлах), это снижает 
нагрузку на маршрутизаторы. В то же время возможность использования большого количества 
дополнительных параметров расширяет функциональность протокола ІР и делает его открытым 
для внедрения новых механизмов. 


Чтобы повысить производительность маршрутизаторов Интернета в части выполнения 
их основной функции — продвижения пакетов, в версии [Руб предпринят ряд мер по ос- 
вобождению маршрутизаторов от некоторых вспомогательных функций. 


О Отказ от обработки необязательных параметров заголовка. В ГРУ4 обработка пакета 
включает просмотр и анализ всех полей заголовка, даже если они не несут полезной 
информации. Например, при обработке нефрагментированных пакетов просматрива- 
ются все поля, относящиеся к фрагментации. 


О Перенесение функций фрагментации с маршрутизаторов на конечные узлы. Конечные 
узлы в версии ГРуб обязаны найти минимальное значение МТТ вдоль всего пути, со- 
единяющего исходный узел с узлом назначения (эта техника под названием Рав МТО 
О15соуегу уже используется в [Ру4). Маршрутизаторы [Руб не выполняют фрагмента- 
цию, а только посылают ІСМР-сообщение о слишком длинном пакете конечному узлу, 
который должен уменьшить размер пакета. 


О Широкое использование маршрутизации от источника. При маршрутизации от ис- 
точника узел-источник задает полный маршрут прохождения пакета через сети. Такая 
техника освобождает маршрутизаторы от необходимости просмотра адресных таблиц 
при выборе следующего маршрутизатора. 


О Отказ от подсчета контрольной суммы. В заголовке пакета [Руб нет поля контрольной 
суммы. Поскольку контрольная сумма вычисляется как на вышележащем (ТСР, ОРЮР), 
так и нижележащем уровне (Еїћегпеѓ), было решено, что вычисление контрольной 
суммы на сетевом уровне избыточно. 


О Агрегирование адресов ведет к уменьшению размера адресных таблиц маршрутизаторов, 
а значит, и к сокращению времени просмотра и обновления таблиц. При этом также 
сокращается служебный трафик, порождаемый протоколами маршрутизации. 
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О Отказ от использования технологии МАТ. Одной из целей технологии МАТ является 
уменьшение необходимого адресного пространства путем отображения большого числа 
частных адресов на несколько публичных. В ГРуб такая экономия адресов теряет смысл. 
Отказ от МАТ упрощает маршрутизацию, дает выигрыш в производительности, решает 
проблему идентификации пользователей. 


О Принципиальная возможность использования в качестве номера узла его МАС-адреса из- 
бавляет маршрутизаторы от необходимости применять процедуру разрешения адресов. 


Новая версия протокола ІР, являющаяся составной частью проекта [Руб, предлагает встро- 
енные средства защиты данных. Размещение средств защиты на сетевом уровне делает их 
прозрачными для приложений, так как между уровнем ІР и приложением всегда будет 
работать протокол транспортного уровня. Приложения переписывать при этом не при- 
дется. Новая версия протокола ІР со встроенными средствами обеспечения безопасности 
называется ІРЅес (Зесигку Іпќегпеѓ Ргоѓосо! — защищенный протокол ІР, подробнее см. 
главу 29). 


Протокол обнаружения соседей 
Меісћбоиг Оіѕсохегу 


Протокол [Руб не может работать без вспомогательных протоколов, выполняющих функ- 
ции отображения адресов и имен, оповещения о произошедших в сети ошибках, снабжа- 
ющих приложения диагностической информацией о работе сети, а также протоколов, 
поддерживающих конфигурирование сетевых узлов. В [Ру4 такую роль играют протоколы 
АВР ОМ$, [СМР ОНСР и др. Для работы с ТРуб одни из этих протоколов были подвер- 
гнуты минимальной модернизации, другие — заменены новыми средствами. Таким новым 
протоколом, пришедшим на смену протоколу АКР и заменившим функции обнаружения 
маршрутизатора (Кощег О15соуегу) и перенаправления (Кейігесі) протокола {СМР явля- 
ется протокол обнаружения соседей (Ме Ъог О15соуету). 


Задачи протокола М№О и протокол 1СМРуб 


Протокол обнаружения соседей (“№еідћбог Оіѕсохегу, МО) описан в ВЕС 2461. Он представляет 
собой набор сообщений и процессов, определяющих взаимоотношения между смежными узлами 
в ходе решения следующих задач: 


О разрешение адресов — аналог функций протокола АНР; 


О обнаружение хостом соседних маршрутизаторов, выбор маршрутизатора по умолчанию — 
аналог функции обнаружения маршрутизатора ІСМР 1Р\У4 Вощег О5соуегу; 


О наделение хостов параметрами МТО линии связи, значение предельного числа шагов по 
умолчанию для отправляемых хостом пакетов, значение префикса для адресов уровня линии 
связи; 


автоконфигурирование ІР-адресов; 
обнаружение дублированных адресов; 
перенаправление маршрута (аналог функции КМР Ведпе в ІРУ4). 


о 
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Для решения перечисленных задач узлы, относящиеся к одной линии связи, обмениваются 
специально предназначенными для этих целей сообщениями 1СМРУуб, из чего следует, 
что основой для протокола МО служит протокол {СМРу6б (КЕС 4443), входящий в состав 
программного обеспечения любого узла 1Руб. Являясь усовершенствованной версией 
протокола [СМР для ІРу4, протокол ІСМРУ6 играет в ІРуб значительно большую роль, 
чем [СМР в ГРу4. Действительно, помимо работы по оповещению об ошибках и выработке 
диагностических сообщений, ІСМРУ6 предоставляет ряд своих сообщений для реализации 
протокола обнаружения соседей МО и некоторых других протоколов стека [Ру6б. 


Главной идеей модернизации протокола [СМР было стремление избавиться от редко ис- 
пользуемых и избыточных механизмов и одновременно расширить функциональность 
протокола для поддержки новых возможностей [Руб. Многое в новой версии сохранилось 
без изменения: формат сообщений (см. вновь рис.14.14); разделение сообщений на две 
группы — сообщения об ошибках и информационные эхо-сообщения; названия и на- 
значение многих сообщений. В то же время имеются и изменения, как менее, так и более 
значительные. Так, изменена нумерация типов сообщений — даже тех, названия которых 
полностью совпадают со «старыми»; некоторые сообщения, сохранив свое название, изме- 
нили, хотя и незначительно, интерпретацию. Так, сообщение «Истечение времени» в 1Ру4 
интерпретировалось как превышение времени жизни пакета, а в [Руб — как превышение 
числа хопов. Введены новые типы и коды сообщений, отражающие специфику ГРу6б, напри- 
мер сообщение «Слишком большой пакет», отсутствующее в [СМР для [Ру4. В сообщении 
о недоступности адресата появилась новая причина ошибки: «Адрес назначения пакета 
выходит за рамки области действия адреса источника»; это сообщение генерируется, когда, 
например, в качестве адреса источника используется адрес уровня линии связи, а в качестве 
адреса назначения — глобальный индивидуальный адрес. Для сообщения типа «Проблема 
с параметрами пакета» определен новый код ошибки («Ошибка в распознавании опций 
пакета 1Руб»). 


Сообщения протокола МО 


Основными «кирпичиками», из которых построен протокол обнаружения соседей МО, 
являются следующие пять типов сообщений [СМР называемых также сообщениями МП: 


1. Сообщение «Запрос к маршрутизатору» (Кошег Зо|сКайоп), код типа 133, посыла- 
ется хостом по групповому адресу ЕЕ02::2, когда он желает узнать, имеются ли марш- 
рутизаторы, непосредственно подсоединенные к его линии связи. Хост посылает это 
сообщение, приглашая все маршрутизаторы ответить немедленно, не ожидая истечения 
установленных для них интервалов между объявлениями. 


2. Сообщение «Объявление маршрутизатора» (Кощег Адуегизетепу), код типа 134, 
может рассылаться маршрутизатором либо периодически с некоторым интервалом 
по групповому адресу ЕЕ02::1 (всем узлам на его линии связи), либо в ответ на по- 
ступивший «запрос к маршрутизатору» по адресу запросившего информацию узла. 
Это сообщение содержит достаточно обширный перечень необходимых хосту данных, 
в частности, информацию о значении одного или нескольких префиксов для индиви- 
дуальных адресов, о значении МТО данной линии связи, информацию о специфи- 
ческих маршрутах, а также о том, следует ли узлу-получателю данного сообщения 
использовать автоконфигурацию, а если да, то как долго будут действительны адреса, 
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сгенерированные при автоконфигурации. Для того чтобы узел мог определить, какой 
из маршрутизаторов в его подсети следует использовать в качестве маршрутизатора 
по умолчанию, в объявлении маршрутизатора предусмотрен двухбитовый параметр, 
описывающий степень предпочтительности данного маршрутизатора в роли марш- 
рутизатора по умолчанию: 00 — средняя; 01 — высокая; 11 — низкая; 00 — маршрути- 
затор вообще не может быть использован в этом качестве. Эти рейтинги назначаются 
маршрутизаторам администраторами при конфигурировании с учетом особенностей 
конкретной сети. 


3. Хост посылает сообщение «Запрос к соседнему узлу» (М№еірћЫог ЗосКайоп), код 
типа 135, чтобы обнаружить наличие дубликата при назначении адреса, узнать адрес 
канального уровня соседнего узла или проверить достижимость соседнего узла. 


4. Сообщение «Объявление соседнего узла» (Ме1еВБог Адуегзетепу), код типа 136, 
посылается узлом либо в ответ на сообщение «Запрос к соседнему узлу» по индиви- 
дуальному адресу запрашивающего узла, либо по собственной инициативе данного 
узла в тех случаях, когда изменился его МАС-адрес или изменилась роль, которую он 
играет в сети (маршрутизатор или хост). В последнем случае сообщение посылается 
широковещательно (по адресу ЕЕ02::1 в пределах линии связи). 


5. Назначение сообщения «Перенаправление маршрута» (Кейігесї), код типа 137, со- 
впадает с назначением аналогичного сообщения протокола ІСМР для [РУ4 (см. раздел 
«Формат и коды ІСМР-сообщений» в главе 14). 


Все сообщения, которыми оперирует протокол МО, должны поступать только от узлов- 
соседей, то есть узлов, относящихся к одной линии связи. Для того чтобы можно было 
убедиться, что пакет, несущий сообщение МО, пришел из той же локальной сети, все со- 
общения протокола МО отправляются с предустановленным значением 255 в поле «Пре- 
дельное число шагов». Когда сообщение МО поступает в пункт назначения, выполняется 
проверка: если число шагов в заголовке пакета меньше 255, значит, этот пакет прошел через 
маршрутизатор, то есть пришел извне и должен быть отброшен. В результате протокол 
МО защищен от МЮ-сообщений, ошибочно или злонамеренно направленных из внешней 
сети. В сети [Ру4 ІСМР-сообщения «Объявление маршрутизатора» и «Перенаправление 
маршрута» могут поступать в локальный сегмент извне, что также представляет собой 
потенциальную угрозу. 


Каждое из сообщений МО может иметь параметры, называемые опциями протокола МО. 
Каждый тип опции несет в себе определенный вид параметра: префикс сети или МАС- 
адрес, МТУ для линии связи или временной интервал между объявлениями маршрути- 
затора и др. Один и тот же тип опции может использоваться в сообщениях разного типа, 
например, опция «Адрес канального уровня источника» может быть включена как в запрос 
к маршрутизатору, так и в объявление соседнего узла. 


На рис. 17.8, а показан формат сообщения протокола МО, в поле данных которого разме- 
щается набор опций. Сообщение может иметь одну или несколько опций либо не иметь 
опций вообще. На рис. 17.8, 6 показан пример [Руб пакета с инкапсулированным в него 
[СМРуб-сообщением. Опции в сообщениях МО имеют такой же формат, как и опции в до- 
полнительных заголовках (рис. 17.7), то есть состоят из трех полей: «Тип опции», «Длина 
опции» и «Данные опции» с той разницей, что здесь длина опции задается не в байтах, 
ав 8-байтных блоках. В примере число 135 в поле типа сообщения указывает на то, что 
это сообщение «Запрос к соседнему узлу». В поле «Тип опции» стоит 1, что указывает на 
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опцию «Адрес канального уровня отправителя», длина которой составляет один 8-байто- 
вый блок, в поле данных этой опции размещается МАС-адрес отправителя. 


Опции протокола МО 


Заголовок {СМРУб | | 
А Ані ый Опция МО | Опция МО | Опция МО 


1 2 к, 


Заголовки 
ІРу6б 


информация МО 


та | 


Заголовки Заголовок 1СМРуб + Тип Длина 
|Руб ‘информация МО опции опции 


о (Сова | 


Указатель Тип сообщения — Адрес канального Опция занимает 1 МАС-а дрес 
на следующий «Запрос к уровня источника 8- байтовый блок источника сообщения 
заголовок — ІСМР соседнему узлу» 


Данные опции 


6 


Рис. 17.8. Формат сообщения МО: а — обобщенный формат; 
б — формат сообщения «Запрос к соседнему узлу» 


Проверка наличия дубликата адреса с помощью 
протокола МО 


При конфигурировании интерфейса узел должен убедиться, что в его подсети (линии 
связи) нет другого узла с таким же адресом. Для этого он посылает всем своим соседям 
сообщение типа «Запрос к соседнему узлу», содержащее значение ІР-адреса, который 
проверяется на наличие дубликата. Если в ответ не приходит сообщения «Объявление 
соседнего узла», то адрес может быть использован. Рассмотрим пример решения задачи по- 
иска дубликата адреса (рис. 17.9). Пусть интерфейс узла А имеет МАС-адрес 00-80-48-ЕВ- 
7Е-60 и неподтвержденный индивидуальный адрес 2001:630:3С:Е803::7. Для проверки на 
наличие дубликата узел А посылает сообщение «Запрос к соседнему узлу» со следующими 
значениями полей: 


Заголовок сообщения «Запрос соседнего узла» — целевой адрес 2001:630:3С:Е803::7. 
Заголовок [Р-пакета: 


О ТР-адрес отправителя — неопределенный адрес (::), так как неподтвержденный адрес 
нельзя использовать ни для отправки, ни для получения пакетов. 
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О ГР-адрес назначения — групповой адрес 5ММА ЕЕ02::1:Е Е 00:7, который получается из 
целевого адреса 2001:630:3С:Е803::7. Как мы знаем, адреса такого типа используются, 
когда МАС-адрес узла назначения неизвестен, что мы и имеем в данном случае. 


Заголовок кадра Ейетее: 
Ц МАС-адрес отправителя — 00-80-48-ЕВ-7Е-60 — МАС-адрес узла А; 


О МАС-адрес получателя — 33-33-ЕЕ-00-00-07, групповой МАС-адрес, полученный ото- 
бражением группового адреса ЭММА запрошенного узла ЕЕ02::1:ЕЕ00:7. 


Запрос соседнего узла 


Вопрос: 


МАС-адрес отправителя 00-80-48-ЕВ-7Е-60 
МАС-адрес получателя 33-33-ЕЕ-00-00-07 


ІР-адрес отправителя – неопределенный адрес :: |\ 
ІР-адрес получателя – адрес ЭММА РРО2::1:ҒР00:7 


Целевой адрес 2001:630:3С:Е803::7 


Имеется ли в данной 
подсети дубликат адреса 


2001:630:3С:Е803::7 
? 


| Узел А 

Узел Б | С) 
МАС-адрее Ш — Сеть Еете! ^ |! МАС-адрес 
00:2А:0Е:32:5Е:01 | | 00-80-48-ЕВ-7Е-60 
Индивидуальный | [=] | Неподтвержденный 
адрес | индивидуальный адрес 
2001:630:3С:Е803::7 | Объявление соседнего узла _ 2001:630:3С:Е803::7 
Групповой адрес \ МАС-адрес отправителя 00:2А:0Е:32:5Е:01 | 
ЅММА \ МАС-адрес получателя 33-33-00-00-00-01 


ҒЕО2::1:ЕЕ00:7 ІР-адрес отправителя – 2001:630:3С:Е803::7 


ІР-адрес получателя – групповой адрес ЕРО2::1 


Целевой ІР-адрес 2001:630:3С:Е803::7 
Целевой МАС-адрес 00:2А:0Е:32:5Е:01 


Рис. 17.9. Обмен сообщениями МО для проверки наличия дубликата адреса 


Данное сообщение принимается и обрабатывается интерфейсом узла В, так как в число 
его адресов входят групповые адреса ЭММА ЕЕ02::1:ЕР00:7 и 33-33-ЕЕ-00-00-07. В со- 
ответствии с протоколом М№еівћБог О!5соуегу узел В отвечает сообщением «Объявление 
соседнего узла» со следующими значениями полей: 


Заголовок сообщения «Объявление соседнего узла» — целевой адрес 2001:630:3С:Е803::7. 
Опция протокола МаейБот О15сочету — целевой адрес канального уровня — 00:2А:0Е:32:5Е: 01 
Заголовок ІР-пакета: 

О [ГР-адрес отправителя — 2001:630:3С:Е803::7, [Р-адрес узла В; 


О ТР-адрес назначения — групповой адрес ЕР0О2::1, указывающий на все узлы в данной 
линии связи, так как в поле адреса отправителя запроса был указан неопределенный 
адрес. 

Заголовок кадра Ейетег: 


О МАС-адрес отправителя — 00:2А:0Е:32:5Е:01 — МАС-адрес узла А; 
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ОЈ МАС-адрес получателя — 33-33-00-00-00-01, групповой МАС-адрес «все узлы» подсети, 
поскольку [Р-адрес получателя неизвестен. 


В результате данного обмена сообщениями узел А убедился, что его неподтвержденный 
адрес имеет дубликат, а значит, не может быть использован. 


Разрешение адресов в 1Руб 


Когда по ІР-адресу назначения пакета узел-отправитель определяет ІР-адрес следующего 
маршрутизатора, этого недостаточно, чтобы отправить пакет по маршруту, так как пакет 
требуется поместить в кадр Е егпе%, а для этого, помимо [Р-адреса следующего маршру- 
тизатора, необходимо знать и его МАС-адрес. В ІРу4 функция определения канального 
адреса интерфейса по его [Р-адресу возложена на протокол АКР ав [Руб эта задача, как 
и задача обнаружения дубликата адреса, решается путем обмена сообщениями «Запрос 
соседнего узла» и «Объявление соседнего узла» (рис. 17.10). 


МАС-адрес отправителя 
00-80-48-ЕВ-1С-72 
МАС-адрес получателя 
33-33-РҒ-ЕВ-7Е-60 


Вопрос: 


ІР-адрес отправителя 


ҒЕ80::0280:48ҒЕ:ҒЕ ЕВ:1С72 какой МАС-адрес имеет 

ІР-адрес получателя | интерфейс с адресом 

адрес 5ММА ЕЕО2:0:0:0:1:ҒҒЕВ:7Е60 | ЕЕ80::0280:48ЕЕ:ЕЕ ЕВ:7Е60 
| ? 


Целевой адрес РЕ80::0280:48ҒЕ:ҒЕ ЕВ:7Е60 | 


Узел Б | | =! 


Е Сеть Еіћегпеї 


МАС-адрес 00-80-48-ЕВ-1С-72 


= 


| 
| 


Адрес уровня линии связи 
ҒЕ80::0280:48ҒЕ:ҒЕ ЕВ:7Е60 


Адрес запрашиваемого узла 
ҒЕО2:0:0:0:1:ЕҒЕВ:7Е60 


Групповой МАС-адрес 
33-33-РЕ-ЕВ-7Е-60 


| ҒЕ80::0280:48ҒҒ:РЕ ЕВ:1С72 


Объявление соседнего узла 


МАС-адрес отправителя 
00-80-48-ЕВ-7Е-60 
МАС-адрес получателя 
00-80-48-ЕВ-1С-72 
ІР-адрес отправителя 
ҒЕ80::0280:48ҒЕ:ҒЕ ЕВ:7Е60 


У ІР получателя 
ҒЕ80::0280:48ҒҒЕ:ҒЕ ЕВ:1С72 


Целевой ІР- адрес 
ҒЕ80::0280:48ҒЕ:ҒЕ ЕВ:7Е60 
Целевой МАС-адрес 00-80-48-ЕВ-7Е-60 


Рис. 17.10. Обмен сообщениями МО для разрешения адреса 


Пусть узел А решает послать пакет своему соседу по локальной сети — узлу Б. Узлу А из- 
вестен индивидуальный ІР-адрес узла В — ЕЕ80::0280:48ЕЕ:ЕЕ ЕВ:7Е60, но он не знает 
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его МАС-адреса. Для разрешения ситуации он посылает в свою локальную сеть сообщение 
протокола МО «Запрос соседнего узла». 


Поскольку узел А не может направить это сообщение по индивидуальному адресу узла Б, 
то он решает воспользоваться групповым адресом запрашиваемого узла (ММА), который 
конструирует из известного ему индивидуального ІР-адреса ЕЕ80::0280:48ЕЕ:ЕЕЕВ:7 Е60 
узла Б. Полученный в результате адрес ЕЕ02:0:0:0:1:ЕЕЕВ:7Е60 описывает группу, скорее 
всего, состоящую из одного узла Б. В качестве МАС-адреса назначения узел А использует 
отображение группового [Р-адреса ЕЕ02:0:0:0:1:ЕЕЕВ:7Еб0 на групповые МАС-адреса — 
33-33-ЕЕ-ЕВ-7Е-60. 

Узел Б получает «Запрос», так как групповой адрес запрашиваемого узла входит в число 
его адресов; он был сгенерирован для него одновременно с присвоением индивидуального 
адреса. Обработав запрос, узел Б отправляет ответное сообщение «Объявление соседнего 
узла» на индивидуальный адрес узла Б. В «Объявлении» в поле опции «Адрес канального 
уровня целевого хоста» узел А находит значение искомого МАС-адреса узла Б, после чего 
узлы А и Б могут связываться по индивидуальным адресам. 


Процесс адаптации версии 1Руб 


Темпы миграции 


При разработке ІРу6 предполагалось, что довольно значительное время островки Интер- 
нета, работающие по протоколу [Руб, будут сосуществовать с остальной частью Интернета, 
работающей по протоколу ІРу4. Насколько быстро идет процесс разрастания «островков», 
можно судить по графикам на рис. 17.11 и 17.12. 


Руб Адборбіоп 


\$е аге сопНпиоизу теазийла ће ауаНаБИИу о! {Руб соппесіуну атопа Соса изегз Тһе огарћ зПо\ми$ ће регсемаде ої иѕегѕ 1ћа! ассе$$ Соодје оуег Руб 


Мабуе: 0.20% 6004/Тегебо: 0.05 [21 Оес 2010 
ом Общая доля запросов 
: е 
по протоколу ІРуб Т 
0.35% Г 
И м 
0.30% М. 
Ж. 
0.25% Ы 
у” 

0.20% ‚БМ А шир | 

вн И м“. Запросы из чистых 
0.15% НЕННЕ ЕЕЕ аа. к: ры (паійуе) сетей ІРуб 

і ЗЗР ЕЕ 2%. и ИРИ ў 

ТИ Т ТААН Д, | Запросы через туннели ІРуб 

0.10% 1: Е дея Р 
| еже :} т В , Ж" : ЕБЕ уя че 7 а В и: 
0.05% ШАА о МАЧ 
0 00% НИНЕ ЕО ААА ЕЕРИДРЕРНЕЦРЦАРИНЕОРРЕНЕОРОЕРИДРРЫРАРИРЫЦИРТАРЫИЕНУРРИРРРЕС ддплрорливроврроьвппоплоовопрдовалилвовораваа рипа оаголии дивизии поброрврпада лорд пподипр разлада опобррдпрацовд радаров дров дпшдивилпралаь оао ораар боди шадпвпрвловадоволодроб и 
Јап 2009 ЈИ 2009 Јап 2010 ЛИ 2010 зап 2011 Ји 2011 


Рис. 17.11. Статистические данные анализа трафика запросов, 
собранные компанией Соодјіе, 2009-2011 год 
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На рис. 17.11 — графики, показывающие, как изменялась доля запросов к Соое, выпол- 
няемых по протоколу ГРуб, по отношению к общему числу запросов!. Один из графиков 
описывает запросы через туннели [Руб, другой — запросы из сетей, в которых вся инфра- 
структура поддерживает 1Ру6 (так называемых чистых сетей 1Руб), третий график пред- 
ставляет собой сумму первых двух. Как видим, в конце 2010 года общая доля 1Руб-запросов 
составляла лишь 0,25 %, причем большая часть (0,2 %) из них поступала из чистых [Руб- 
сетей, 0,5 % запросов использовали туннелирование, а доля запросов, представляющих все 
другие методы интеграции, была пренебрежимо малой. 


{Руб Адорцоп 
Үе аге солілисиѕіу теазийпту ће ахава у о! Руб соппесй\Йу атопа Сосо иѕегѕ. Тһе дгарћ эпох ће регсетаде 01 иѕегѕ (Па! ассеѕѕ Соодіе оуег іРуб 
МаНие: 23.95% золе 100% | 14 Јип 2019 
30.00% 
Общая доля запросов 
по протоколу ІРуб 
25.00%. х 
і хч 
20.00% 
Запросы из чистых 
(паіуе) сетей 1Руб 
15.00% ыы 
10.00%. 
5.00%: 


О зимовать монм мем ледник молкеиодевийы а и меоед мода УЕ ЗМР А... млад 
У ® јап 2009 Јап 2010 Јал 2011 Јап 2012 Јап 2013 Јап 2014 Јап 2015 Јап 2016 Јап 2017 Јап 2018 ЈАап 2019 


Рис. 17.12. Статистические данные анализа трафика запросов, 
собранные компанией Соодіе, 2009-2019 год 


Рисунок 17.12 показывает, как сильно изменилась картина через 10 лет — общая доля ГРуб- 
запросов к 2019 году достигла почти 30%! И хотя эти данные носят частный характер, от- 
ражая трафик запросов к поисковой системе Соор(е, на их основе эксперты делают оценки 
темпов перехода на 1Руб. Собранные статистические данные интерпретируются разными 
специалистами по-разному: одни отмечают большой прогресс, другие, напротив, считают, 
что этап относительно быстрого роста за 2015—2018 годы сменился замедлением, и пред- 
сказывают?, что эти 30 % станут финальным уровнем распространения [1Руб. Согласно 
данным компании Соозе, наибольшее распространение протокол [Руб получил в Бельгии 
(53%), Германии (41 %), США (37 %) и Индии (37 %). В РФ это значение составляет 3,4 %. 
Можно заметить, что степень адаптации стека [Руб не связана прямо с технической про- 
двинутостью стран, например, в Греции доля обращений к веб-серверам, выполняемых по 
протоколу ГРуб, составляет 37 %, а в соседней Италии — 3,5 %. 


1 һєєрѕ://муу.роорІе.сот/іпі/еп/іруб/ѕбабіѕ(ісѕ.Һот] 


2 Вир: //м\мм. сиг е1А.сот/ро${$/20190529_ аірріпр іпѓо іруб їга с _{о_роое_15_28_регсепе _ 
дерІоутепрё |ітіё/ 
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Проблема интеграции сетей разных технологий 


Совместное существование сетей, построенных на основе разных технологий, — проблема 
более общая, нежели сосуществование 1РУ4 и 1Руб. Два десятка лет назад в сетях наблю- 
далось гораздо большее разнообразие и вопросы согласования технологий в гетерогенных 
сетях занимали более важное место, чем сейчас. В последнее десятилетие степень неодно- 
родности сетей существенно снизилась. Прежде всего этому способствовал стремительный 
рост популярности Интернета, в результате чего стандартом де-факто стал стек протоколов 
ТСР/ІР Большое влияние оказали также доминирование на канальном уровне технологии 
Еегпе и сокращение перечня популярных сетевых ОС до двух семейств — Мисгозой 
УЛпао\$ и Чмх. Таким образом, тенденция к унификации сетевого мира налицо, однако 
означает ли это, что проблема межсетевого взаимодействия почти решена и на нее не 
стоит обращать внимания? Правильный ответ — нет. Даже в условиях доминирования 
стека ТСРЛІР сегодня существуют две его версии — [РуУ4 и [Руб, которые не могут не- 
посредственно взаимодействовать друг с другом. Кроме того, учитывая изменчивость 
сетевого мира, в котором время от времени возникает проблема сосуществования сетей, 
построенных на разных технологиях, знакомство с основными идеями этих методов может 
оказаться весьма полезным. 


Одной из причин неоднородности любой большой сети является эволюционный характер 
ее развития. Сеть, как правило, не строится с нуля и не возникает в одно мгновение. За 
время ее существования появляются привлекательные технологические новшества, и соз- 
датели сети вынуждены вносить в нее изменения, которые часто требуют согласования 
новых технологий с уже имеющимися старыми. 


В контексте межсетевого взаимодействия мы будем понимать под термином «сеть» совокуп- 
ность компьютеров, общающихся друг с другом с помощью одного, общего для всех них стека 
протоколов. 


Проблема возникает, если требуется организовать взаимодействие компьютеров, на кото- 
рых поддерживаются отличающиеся стеки коммуникационных протоколов. В худшем слу- 
чае не совпадают протоколы всех уровней, однако проблема межсетевого взаимодействия 
возникает и тогда, когда в сетях не совпадает протокол хотя бы одного из уровней стека. 
Так, если в одном стеке на канальном уровне работает технология Еќћегпгї, а в другом — 
протокол РРР то непосредственно эти протоколы общаться и передавать между сетями 
кадры не могут. Именно для решения подобных проблем и были в свое время созданы 
протоколы сетевого уровня — ІРХ, ІР и др. Но идея использования протокола сетевого 
уровня перестает работать, когда в сети на этом уровне работают разные протоколы, на- 
пример ІРУ4 и [Руб. 


Равным образом проблема межсетевого взаимодействия может возникнуть и при объ- 
единении сетей, в которых используется один и тот же протокол сетевого уровня, но 
применяются различные протоколы прикладного уровня. Например, компьютеры, 
работающие под управлением ОС М!сгозой Міпіожѕ, по умолчанию используют для 
доступа к файлам протокол ЗМВ, а компьютеры, работающие под управлением ОС 
Опіх, — протокол МЕЅ. Если же требуется обеспечить пользователям сервис единой 
разделяемой файловой системы, то администратор сети столкнется с необходимостью 
согласования сетевых служб. 
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Двойной стек, трансляция, туннелирование 


Исходя из самых общих соображений, можно назвать три принципиально различных под- 
хода к организации взаимодействия узлов, принадлежащих сетям, построенных на основе 
разных технологий: 


О двойной стек протоколов (или мультиплексирование стеков); 
О трансляция; 
О туннелирование (инкапсуляция). 


Для пояснения первых двух подходов может быть использована следующая простая ана- 
логия. Для компьютерных узлов стек коммуникационных протоколов является тем же, 
что и язык общения для людей. Если вы находитесь в стране, в которой люди говорят на 
незнакомом для вас языке, то у вас имеется две возможности пообщаться с аборигенами: 
во-первых, выучить этот язык (установить на компьютере второй стек коммуникационных 
протоколов), а во-вторых, воспользоваться услугами переводчика (передавать трафик через 
транслирующее устройство). 


Двойной стек. На рис. 17.13 показаны две сети, одна из которых преимущественно ис- 
пользует стек А (затемнен фоном), а другая — стек В. В сети А работает сервер, на котором 
установлены два стека, А и В, для того чтобы к нему могли обращаться не только клиенты 
из его «родной» сети А, но и клиенты, использующие стек В. 


СтекА СтекА Стек В 


о ца 
5 


Ен 
Узел с двойным 
стеком 


Се 


3%; 


< Сеть, использующая „ 
стек В | 


` 


Сеть, использующая 
стек А 


Рис. 17.13. Двойной стек протоколов 


Чтобы запрос от прикладного процесса был правильно обработан и направлен через 
соответствующий стек, необходимо наличие специального программного элемента -- 
мультиплексора протоколов, называемого также менеджером протоколов. Менеджер 
должен уметь определять, к какой сети направляется запрос клиента. Для этого может 
использоваться служба имен сети, в которой отмечается принадлежность того или иного 
ресурса определенной сети с соответствующим стеком протоколов. В общем случае на 
каждом уровне вместо одного протокола появляется целый набор протоколов, и может 
существовать несколько мультиплексоров, выполняющих коммутацию между протокола- 
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ми разных уровней (рис. 17.14). Хотя многие из показанных на этом рисунке протоколов 
представляют сейчас только исторический интерес, схема их взаимодействия прекрасно 
иллюстрирует идею многоуровневого мультиплексирования стеков протоколов. 
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Рис. 17.14. Мультиплексирование протоколов 


Мультиплексирование протоколов реализует отношение «один-ко-многим», то есть один 
клиент с дополнительным стеком может обращаться ко всем серверам, поддерживающим 
этот стек, по аналогии, один сервер с дополнительным стеком может предоставлять услуги 
многим клиентам. 


Трансляция обеспечивает согласование стеков протоколов путем преобразования со- 
общений, поступающих от одной сети, в формат сообщений другой сети. Транслирующий 
элемент, в качестве которого могут выступать, например, программный или аппаратный 
шлюз, мост, коммутатор или маршрутизатор, размещается между взаимодействующими 
сетями и служит посредником в их «диалоге». В зависимости от типа транслируемых 
протоколов процедура трансляции может иметь разную степень сложности. Так, преоб- 
разование протокола Ећегпеѓ в протокол ТоКкеп Кіп сводится к нескольким несложным 
действиям, главным образом благодаря тому, что оба протокола ориентированы на единую 
схему адресации узлов. А вот трансляция протоколов сетевого уровня (например, 1Ру4 
в [Руб) представляет собой куда более сложный интеллектуальный процесс, включающий 
не только преобразование форматов сообщений, но и отображение адресов сетей и узлов, 
различным образом трактуемых в этих протоколах. Еще более сложной является транс- 
„яция протоколов прикладного уровня, включающая отображение инструкций одного про- 
токола на инструкции другого, что представляет собой сложную, логически неоднозначную 
интеллектуальную процедуру, сравнимую с работой переводчика с одного языка на другой. 


На рис. 17.15 показано взаимодействие клиента и сервера, принадлежащих разным сетям, 
соединенным шлюзом, преобразующим трафик сети А в трафик сети В. В шлюзе установ- 
лены оба стека протоколов. Шлюз транслирует пакеты, поступающие от клиента в адрес 
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сервера, в соответствии с алгоритмом, зависящим от конкретных протоколов и, как отме- 
чено, может быть достаточно сложным. 


Транслятор 
протоколов 


Стек В 


ЮС 
а 


Транслирующий узел 


Сеть, использующая 
Ы е, (шлюз) 


стек А 


Сеть, использующая стек В 


Рис. 17.15. Схема трансляции стеков протоколов 


Преобразованные пакеты передаются в сеть В серверу. Ответ сервера клиенту преобразу- 
ется шлюзом аналогично. Достоинство шлюзов состоит в том, что они сохраняют в неиз- 
менном виде программное обеспечение узлов в сетях как одной, так и другой технологии. 
Пользователи работают в привычной среде и могут даже не заметить, что получают доступ 
к ресурсам другой сети. Но, как и всякий централизованный ресурс, шлюз снижает надеж- 
ность сети. Кроме того, при обработке запросов в шлюзе возможны относительно большие 
временные задержки, во-первых, из-за затрат времени на собственно процедуру транс- 
ляции, во-вторых, из-за задержек запросов в очереди к разделяемому всеми клиентами 
шлюзу, особенно если запросы поступают с большой интенсивностью. Это делает шлюз 
плохо масштабируемым решением (хотя ничто не мешает установить в сети несколько 
параллельно работающих шлюзов). 


Инкапсуляция, или туннелирование, — еще один метод решения задачи согласования 
сетей, который, однако, применим только для согласования транспортных протоколов 
и лишь тогда, когда узлы двух сетей с одной транспортной технологией необходимо соеди- 
нить через транзитную сеть с другой транспортной технологией. В процессе инкапсуляции 
принимают участие: 


О протокол-«пассажир» — транспортный протокол объединяемых сетей; 
О несущий протокол — транспортный протокол транзитной сети; 


О протокол инкапсуляции — протокол, с помощью которого пакеты протокола-Пассажира 
помещаются в поле Данных пакетов несущего протокола 


Пакеты протокола-пассажира никоим образом не обрабатываются при транспортировке по 
транзитной сети. Инкапсуляцию выполняет пограничное устройство (маршрутизатор или 
шлюз), оснащенное двумя стеками протоколов, которое располагается на границе между 
исходной и транзитной сетями. Извлечение пакетов-пассажиров из несущих пакетов вы- 
полняет второе пограничное устройство, находящееся на границе между транзитной сетью 
и сетью назначения. Пограничные устройства указывают в несущих пакетах свои адреса, 
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а не адреса из пакетов-<Пассажиров». Недостаток способа заключается в ТОМ, ЧТО узлы 
связываемых сетей не имеют возможности взаимодействовать с узлами транзитной сети. 


Заметим, что роль пограничного устройства может выполнять хост, и в таком случае мы 
имеем еще две схемы организации туннеля: хост — хост и хост — пограничное устройство. 
Туннельный режим передачи данных используется в самых разных сетевых технологиях 
не только для того, чтобы согласовать транспортные протоколы, но и для других целей. 
В качестве пары «несущий протокол — протокол-пассажир» могут выступать транспорт- 
ные протоколы как одного уровня (например, Ећегпеѓ инкапсулируются в ЕБегпе или 
ІР в [Р), так и разных уровней (РРР в ІР). Например, при передаче группового трафика 
[Р-пакеты с групповыми адресами упаковываются в обычные [1Р-пакеты и в таком виде 
пересылаются между маршрутизаторами, поддерживающими протокол [СМР В этом слу- 
чае туннели ГР-Оуег-[Р позволяют преодолеть те части сети, в которых не поддерживается 
групповое вещание. Другой пример — протокол ІРЅес (см. главу 29), где туннельный ре- 
жим используется для транспортировки зашифрованных пакетов ІР, инкапсулированных 
в обычные пакеты ІР через незащищенные общедоступные сети. 


Способы сосуществования сетей ІРу4 и 1Руб 


В условиях параллельного существования протоколов [Руб и [Ру4 возможны следующие 
стратегии: 1! 


О ничего не менять, сохранять однородное 1Ру4 окружение; 
О строить «чистую» ГРуб-сеть; 
О мигрировать в сторону ГРуУб с частичным сохранением ГРУ4. 


Начнем с первой стратегии — ничего не менять. Действительно, нет ничего, что бы прин- 
ципиально исключало такую стратегию. Среди самых первых требований к [Руб разработ- 
чики называли возможность сетей [ГРу4 сосуществовать с [Руб неопределенно долго. Но 
проблема дефицита адресов является объективной реальностью и со временем не исчезает, 
а лишь обостряется. На рис. 17.16 представлены данные о исчерпании централизованно 
распределяемых адресов ІРу4. 


Верхняя горизонтальная линия здесь соответствует пулу адресов, равному числу узлов 
в сети класса А. Как видно из рисунка, с середины 2017 года такого количества адресов не 
имеет ни одна региональная организация. В этих условиях обладатели сетей ІРу4 долж- 
ны полагаться на технологию трансляции адресов МАТ и на все еще имеющиеся на рынке 
адреса 1Ру4. Кроме того, они должны быть готовы к неизбежному возникновению проблем 
при доступе к чужим узлам, на которых установлены стеки ІРу6. 


Другая, прямо противоположная стратегия — это строительство чистой [Риб-сети. 


Чистая (паїхе) 1Руб-сеть, называемая также сетью ИРуб-отщу, — это сеть, построенная ис- 
ключительно на стеке |Руб, в которой вся сетевая инфраструктура: операционные системы всех 
компьютеров, сетевые службы (ОНСР и ОМ№5), средства маршрутизации, системы мониторинга 
и безопасности — модернизирована так, чтобы постоянно и устойчиво поддерживать |Р\б. 


1 Заметим, что выбор той или иной позиции не может быть сделан в отрыве от конкретных бизнес- 
обстоятельств, специфики имеющейся инфраструктуры, наличия ресурсов ит. д. 
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Хотя чистая [Руб-сеть является конечной целью многих организаций, в настоящее время 
таких сетей относительно немного, поскольку для их построения требуются немалые до- 
полнительные затраты на модернизацию не совместимых с [Руб устройств и приложений, 
которых в любой сети обычно имеется достаточно много. Идеальный путь к сети [Руб- 
опу — это построение сети с чистого листа для вновь создаваемых сайтов, использующих 
самое современное оборудование и приложения. 
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Рис. 17.16. Модель исчерпания распределяемых централизованно адресов ІРу4 
(источник ПИр: //1ру4..ро{агоо.пе\/, 20 июля 2019 года) 


И наконец, наиболее взвешенной стратегией многие эксперты считают планомерное 
развертывание ІРоб с сохранением наследия ІРо4, хотя и в этом случае практически не- 
возможно обойтись без сложного переходного процесса, включающего различные этапы 
согласования технологий 1Ру4 и Руб. Существует широкий набор различных методов 
согласования, но все они базируются на рассмотренных трех основных подходах: двойном 
стеке, туннелировании и трансляции. 


Двойной стек (Юоиа] ЗасК). Наиболее естественным и универсальным методом интеграции 
сети с глобальным ГРуб-интернетом является установка стека ГРуб на каждый узел сети 
с последующим подключением ее к ГРуб-сети провайдера. Обычно при внедрении [Руб 
организации не отказываются полностью от 1Ру4, и в результате хосты и маршрутизаторы 
их сетей поддерживает оба стека протоколов (рис. 17.17). 


Каждому такому узлу, называемому узлом ГТРу4/ТРуб, назначается два набора конфигура- 
ционных параметров (адреса интерфейса, маршрутизатора по умолчанию, О№5-серверы, 
параметры ОНСР ит. д.), один для стека 1РуУ4, второй — для [Руб. Для каждого стека 
используется соответствующая система адресации. В том случае, когда 1Руб-хост отправ- 
ляет сообщение ІРуб-хосту, он использует стек ГРуб, а если тот же хост взаимодействует 
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Прикладной уровень 


Транспортный уровень 
Сетевой уровень 1Р\у4 Сетевой уровень 1ІРуб 
Уровень сетевых интерфейсов 


Рис. 17.17. Двойной стек для узлов 1ІРу4/1Руб 


с ГРу4-хостом — стек [Ру4. Как видим, данный метод не содержит никакого специального 
транзитного механизма. Но он требует специального внимания к конфигурированию 
внешней и внутренней маршрутизации, так как не все протоколы маршрутизации [Ру4 
могут работать в сети ГРуб. 


В настоящее время практически все операционные системы, а также многие приложения 
и сетевые службы оснащены полнофункциональными версиями стеков ІРу4 и [Руб. Та- 
ким образом, схема «двойной стек» стала основной при интеграции сетей. Но означает ли 
это, что пользователь может в любой момент перейти на использование стека [Руб? Рас- 
смотрим в качестве примера работу веб-браузера Еігеѓох. Когда пользователь обращается 
к некоторому сайту, браузер делает запросы типа А и АААА к О№5-серверу и получает 
в ответ два адреса, ІРу4 и ГРуб. Далее запускается процедура выбора предпочтительного 
адреса, а следовательно, и предпочтительного стека. Во многих браузерах, в том числе 
и браузере Еігеѓох, этот выбор выполняется на основе алгоритма Нарру ЕуеБа11$ (КЕС 
6555). В соответствии с этим алгоритмом браузер делает два запроса по обоим адресам, 
а затем сравнивает время ответа. Для использования выбирается тот стек, который дал 
более короткое время. Очевидно, что время ответа зависит от того, насколько окружаю- 
щая сетевая инфраструктура поддерживает тот или иной стек. Кроме того, в большинстве 
браузеров имеются настройки, которые позволяют пользователю сконфигурировать его 
для работы исключительно по [Руб или по [Ру6б. 


Туннелирование может быть применено в тех случаях, когда две сети [Руб необходимо соеди- 
нить через транзитную сеть ІРу4 (или наоборот). Этот метод часто используется большими 
компаниями, которые не хотят тратить слишком много времени и средств, чтобы перевести 
их большие сети полностью на [Руб или поддерживать на всех узлах двойной стек. Однако 
туннелирование становится слишком громоздким и дорогостоящим методом с ростом чис- 
ла сетей, которые требуется соединять друг с другом с помощью туннелей (особенно это 
справедливо для топологий, близких к полносвязной). На рис. 17.18 показаны схемы двух 
разновидностей туннелей: маршрутизатор — маршрутизатор и хост — маршрутизатор. 


В первом случае узел ГРуб с адресом А посылает пакет другому узлу ГРуб, имеющему 
адрес В. Данный пакет продвигается маршрутизаторами сети [Руб на основании адреса 
назначения В и достигает промежуточный маршрутизатор, который выполняет функции 
пограничного устройства туннеля в [Ру4-сети. Маршрутизатор формирует 1Ру4-пакет, 
в поле данных которого упаковывает данный 1Руб-пакет, а в полях адреса источника 
и назначения заголовка [Ру4-пакета указывает [Ру4-адреса С и О соответственно. На ос- 
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новании адреса назначения О пакет ІРу4, несущий пакет ІРу6, продвигается по сети [Ру4 
абсолютно таким же образом, как и все остальные пакеты этой [Ру4-сети, пока не достигнет 
адреса назначения О — второго пограничного маршрутизатора. Маршрутизатор, получив 
пакет, анализирует его заголовок и определяет, что в поле «Протокол верхнего уровня» 
содержится значение 41, указывающее на то, что в поле данных этого пакета находится 
пакет [Руб. Пограничный маршрутизатор извлекает исходный [Руб-пакет и в неизменном 
виде маршрутизирует его обычным образом на основании 1Руб-адреса назначения В. 


Пограничный Пограничный 
маршрутизатор 5 маршрутизатор 
А Пакет ІРу6| ?аголовок в 
| ] [Пакет ІРуб) „===: С И. Вр „... [Пакет Руб 
Узел 1Руб Узел Узел Узел Руб 
Сеть, использующая ІРҰ4/1РҮб \ узел |Р\У4 |РУ4ИРУб Сеть, использующая 
стек Руб Сеть, использующая стек ІРу6 


стек ІРу4 


а) Туннель маршрутизатор — маршрутизатор 


а Пограничный 
Пакет Руб | Заголовок маршрутизатор 
| зь [Пакет Руб 


Туннель __ 
Узел Узел Узел Руб 
6 узел 1Ру4 узел 1руд // !РУА!РУ6 Сеть, использующая 
Сеть, использующая стек ІРуб 


стек ІРу4 


6) Туннель хост — маршрутизатор 


Рис. 17.18. Согласование технологий ІРу4 и |Руб путем туннелирования 


В схеме хост — маршрутизатор узел ІРУ4/1Ру6, расположенный в сети с преобладанием 
узлов ГРу4-ошу, выполняя роль пограничного устройства, создает аналогично работающий 
туннель до другого пограничного устройства (маршрутизатора). 


Разные варианты туннелирования отличаются способом конфигурирования туннелей. 
Например, метод СКЕ (Сепегіс Коџіпе Епсарѕшайоп) использует ручное конфигуриро- 
вание пограничных устройств туннеля, а метод 604 — автоматическое конфигурирование 
с привлечением особого типа ІРу6-адресов с префиксом 2002::/16. 


Трансляция протоколов используется, если требуется обеспечить взаимодействие узла 
сети [Руб-ощу и узла ІРу4-опІу. Согласование двух версий протокола ІР происходит путем 
преобразования заголовков ІРу4 <> [Руб. Процесс преобразования включает, в частности, 
отображение адресов сетей и узлов, различным образом трактуемых в этих протоколах. 
Отображение адресов часто выполняется на основе различных вариантов технологии 
МАТ!. Наиболее популярна технология трансляции МАТ64 — рассмотрим ее работу на 


1! Так, в главе 28 описывается, как пограничное устройство МАТ отображает множество частных ІР- 
адресов внутренней сети на несколько публичных ІР-адресов с целью уменьшить количество ис- 
пользуемых предприятием публичных адресов или же для того, чтобы в целях безопасности скрыть 


внутреннюю структуру сети. Тот же самый механизм используется и для отображения адресов 1Руб 
на [Ру4. 
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примере, приведенном в КЕС 6146. Основным транслирующим элементом сети является 
шлюз МАТб4 с двумя интерфейсами, один из которых соединен с сетью ГРУ4, а другой — 
с сетью ГРуб (рис. 17.19). 


Трафик из сети ТРуб в сеть [Ру4 проходит через этот шлюз, который выполняет трансля- 
цию каждого проходящего пакета в соответствии с алгоритмом, приведенным в КЕС 6145, 
преобразуя структуру и содержимое заголовка [Руб в заголовок [РУ4, в том числе отобра- 
жая адреса [Руб на [Ру4. В данном методе шлюз может работать как в одном, так и в другом 


О№$-сервер 
ОМ№$-сервер а 
с функцией 03564 ао.ехатее:< 
А 192.0.2 3 
е.с0 
Хост НІ Неа" 192.0. Хост Н2 
бА 
са 2 
< 92 а 
2001:468::1 ТСР ЗУМ ег, АИ 107 Н2.ехатріе.сот 
94.1955 57 $ эр 192.0.2.1 
`<.1 состав | 
Сеть Руб 203.0.113.1 —__ Сеть ІРуү4 


Рис. 17.19. Трансляция протоколов ІРу6б <> 1ІРу4 с использованием технологии МАТб4 


направлении, однако он не является симметричным: поскольку адресное пространство 
ТРуб намного больше адресного пространства ГРу4, однозначное отображение адресов 
ГРуб в ГРу4 невозможно. Чтобы выполнять трансляцию [Руб в [Ру4, шлюз МАТ 64 должен 
запоминать соответствие между адресом и портом (ТРуб, порт) хоста с одной стороны 
и адресом и портом (1Ру4, порт) шлюза — с другой!. Пару (ІР-адрес, порт) будем называть 
транспортным адресом. Для работы шлюза МАТ64 нужны, по крайней мере, один адрес 
Іру4 и блок адресов ГРуб, состоящий из 32-битного адресного пространства. На рисунке 
показаны: 


Ц хост НІ садресом ГРуб 2001:468::1; 
О хост Н2 садресом [Ру4 192.0.2.1 и именем ћ2.ехатріе.сот; 


О шлюз МАТ 64 имеет интерфейс в сети ГРУ4 с адресом 203.0.113.1. Шлюзу назначен стан- 
дартизованный (\е] Кпомп) префикс 64:НЭБ::./96, используемый для представления 
адресов ГРу4 в адресном пространстве [Руб; 


Ч локальный О№$-сервер с функцией 03№564, заключающейся в том, что сервер исполь- 
зует префикс 64:НЭБ::./96 для создания адресов ІРу6 из адресов [Ру4. 


Когда хост Н1 хочет установить связь с хостом Н2, происходит следующее: 


1. Хост Н1 выполняет О№$-запрос с именем ћ2.ехатріе.сот и получает ответ типа АААА 
от локального О№5-сервера, например 64:Н9Б::192.0.2.1. 


1 Такой подход используется в технологии МАРТ (см. там же). 
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2. Хост Ні посылает ТСР 5У№-пакет хосту Н2. Пакет посылается с транспортным адресом 
источника (2001:4Ъ8::1, 1500) по транспортному адресу назначения (64:99Ь::192.0.2.1, 
80), где номера портов 1500 и 80 выбираются хостом Н1. 


3. Таблица маршрутизации сети [Руб сконфигурирована таким образом, что данный пакет, 
посланный хостом Н1, маршрутизируется к интерфейсу [Руб шлюза МАТб4. 


4. Шлюз МАТЄ4 получает пакет и выполняет следующие действия: 


О выбирает первый же неиспользуемый им порт, например 2000, для своего ІРу4- 
адреса 2003.0.113.1 и создает отображение (2001:4Ь8::1,1500) => (2003.0.113.1, 2000); 


О шлюз МАТ64 транслирует заголовок 1Ру6 в [РУ4, в результате содержимое полей 
заголовка или заголовков [Руб преобразуется в содержимое полей заголовка ІРу4; 


О шлюз МАТ64 использует (2003.0.113.1, 2000) как транспортный адрес отправителя 
пакета, а (192.0.2.1, 80) как транспортный адрес назначения. При этом 192.0.2.1 не- 
посредственно извлекается из поля ГРуб-адреса назначения 64:Н9Ь::192.0.2.1 при- 
шедшего пакета. Порт назначения 80 транслируемого пакета остается тем же, то есть 
переносится без изменения из транспортного адреса назначения. 


5. После трансляции шлюз посылает пакет в сеть ІРу4 со своего интерфейса 1Ру4. 


6. Хост Н2 получает пакет и отвечает пакетом ТСР ЅҮМ+АСК с транспортным адресом 
назначения (2003.0.113.1, 2000) и транспортным адресом отправителя (192.0.2.1, 80). 


7. По 1Ру4-адресу 2003.0.113.1 пакет поступает в шлюз МАТ64, шлюз проверяет, нет ли 
среди имеющихся у него отображений таких, которые бы содержали пару (2003.0.113.1, 
2000). Так как отображение (2001:4Ъ8::1,1500) = (2003.0.113.1, 2000) существует, то 
шлюз выполняет следующие действия: 


О шлюз МАТ 64 выполняет обратную трансляцию заголовка [Ру4 в [Руб; 


О шлюз МАТ64 использует (2001:4Ь8::1, 1500) как транспортный адрес назначения 
пакета и (64:#90::192.0.2.1, 80) как транспортный адрес источника пакета. При этом 
192.0.2.1 непосредственно извлекается из поля адреса источника пришедшего пакета 
[Ру4. Значение порта источника (80) переносится без изменения в пакет [Руб из 
пакета ІРу4. 


8. Полученный в результате трансляции пакет посылается через интерфейс ГРуб хосту Н1. 


Завершая раздел, заметим, что при миграции в сторону ГРуб владельцы и разработчики 
больших сетей редко ограничиваются одной технологией. Гораздо чаще наиболее под- 
ходящий способ интеграции выбирается для каждой подсети, а иногда и для каждого от- 
дельного узла, что приводит к внедрению различных механизмов перехода от 1Ру4 к [Руб, 


отвечающих специфическим требованиям и учитывающих конкретные особенности разных 
частей сети. 


Вопросы к части ІМ 


1. Какие из приведенных адресов могут быть использованы в качестве ІР-адресов се- 
тевого интерфейса для узлов Интернета? Для синтаксически правильных адресов 
определите их класс: А, В, С, О или Е. Варианты адресов: 


а) 123.1. 223.5; 

б) 225.0.0.1; 

в) 194.87.45.255; 
г) 10.124.251.252; 
д) 125.24.255.255; 
е) 17.213.355.205; 
ж) 179.12.255.255; 
з) 127.0.23.55; 

и) 1.0.0.13; 

к) 124.1.1.1; 

л) 192.134.216.255; 
м) 293.236.254.11; 
н) 13.13.13.13. 

2. Пусть ІР-адрес некоторого узла подсети равен 108.5.18.167, а значение маски для этой 
подсети — 255.255.255.240. Определите номер подсети. Какое максимальное число 
сетевых интерфейсов может быть в этой подсети? 

3. Какое максимальное количество подсетей теоретически можно организовать, если 
в вашем распоряжении имеется сеть класса С? Какое значение должна при этом иметь 
маска? При ответе не принимайте во внимание двухточечные соединения. 

4. Пусть вам ничего не известно об узлах, кроме их 0№$-имен: м1 .рйег.ги, ммм. тК.ги 
и мммм.рКег.ги, есһо.тѕК.ги. Что вы можете сказать о том, насколько близко территори- 
ально находятся они относительно друг друга? Варианты ответов: 

а) узел ммм.тѕК.ги территориально ближе к еспо.тзК.ги, чем к м1 .рйегги; 
б) узел мммм.тзК.ги расположен ближе к умм.ріїег.ги, чем к есһо.тѕК.ги; 
в) узел м1 .рйегги территориально ближе к ммм.ріїќег.ги, чем к ммм. т$К.ги; 
г) ничего определенного. 

5. Пусть вам ничего не известно о структуре сети, но в вашем распоряжении имеется 
следующая таблица соответствия [Р-адресов и 0№Ѕ-имен нескольких узлов сети: 


ІР-адрес узла | 123.1.0.01 | 123.1.0.02 | 123.1.0.03 | 123.1.0.04 


Что вы можете сказать об ІР-адресах узлов, имеющих О№-имена у5.триги и м6.теи.ги? 


10. 


11. 


12. 


13. 


14. 
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Какая запись из следующих эквивалентна значению маски /29 (выберите вариант 
ответа): 


а) 255.255.2.9; 

6) 255.255.255.29; 
в) 255.255.255.248; 
г) 255.255.255.229. 


Могут ли для двухточечной связи быть назначены адреса 197.220.12.9/31 
и 197.220.12.10/31? 


Содержимое АКР-таблицы изменяется в результате следующих событий (выберите 
вариант ответа): 

а) при получении АКР-ответов на запрос; 

6) при получении широковещательных АКР-запросов; 

в) по истечении времени жизни записи в АКР-таблице. 

Протокол АКР функционально можно разделить на клиентскую и серверную ча- 
сти. Опишите, какие функции вы отнесли бы к клиентской части, а какие — к сер- 
верной? 

В чем состоят функции нижнего уровня стека ТСРЛІР (выберите вариант ответа): 

а) кодирование и мультиплексирование электрических сигналов; 


6) инкапсуляция и декапсуляция данных сетевого уровня в кадры нижележащей 
технологии, 


в) формирование кадров и синхронизация; 

г) доступ к среде передачи; 

д) преобразование сетевых адресов в адреса нижележащей технологии. 

Поясните, что понимается под термином «линия связи» (пк) в технологии ТСРЛР 

(выберите вариант ответа): 

а) любая коммуникационная среда, которая позволяет ІР-узлам взаимодействовать 
друг с другом без промежуточных маршрутизаторов; 


б) физическая линия связи (отрезок кабеля) с работающим на ней протоколом ка- 
нального уровня; 


в) локальная сеть, построенная на коммутаторах, связывающая интерфейсы марш- 
рутизаторов; 

г) отдельный логический канал МРТ.5. 

Передается ли в [Р-пакете маска в тех случаях, когда маршрутизация реализуется 

с использованием масок? 

Какие элементы сети могут выполнять фрагментацию? Варианты ответов: 

а) только компьютеры; 

6) только маршрутизаторы; 

в) компьютеры, маршрутизаторы, мосты, коммутаторы; 

г) компьютеры и маршрутизаторы. 

Что произойдет, если при передаче пакета он был фрагментирован, причем один 


из фрагментов не дошел до узла назначения по истечении тайм-аута? Варианты 
ответов: 


15. 


16. 
17. 


18. 


19; 


20. 


21. 


22. 


574 Часть ІМ Сети ТСРЛР 


а) ІР-модуль узла-получателя отбросит все полученные фрагменты пакета, в котором 
потерялся один фрагмент, а ІР-модуль узла-отправителя не будет предпринимать 
никаких действий по повторной передаче данного пакета; 


б) ІР-модуль получателя сообщит о неполучении одного фрагмента, а ІР-модуль 
узла-отправителя повторит передачу недошедшего фрагмента; 


в) ГР-модуль получателя сообщит о неполучении одного фрагмента, а ІР-модуль 
узла-отправителя повторит передачу всего пакета, в состав которого входил недо- 
шедший фрагмент. 

Кому адресовано [СМР-сообщение? Варианты ответов: 

а) протоколу ІР узла-отправителя пакета, вызвавшего ошибку; 


6) протоколу транспортного или прикладного уровня узла-отправителя пакета, вы- 
звавшего ошибку; 


в) протоколу ІР ближайшего маршрутизатора, от которого поступил пакет, вызвав- 
ший ошибку. 
Сколько АКР-таблиц имеет компьютер? маршрутизатор? коммутатор? 


В студенческом общежитии живет 350 студентов, и каждый из них имеет собствен- 

ный ноутбук. В общежитии оборудована специальная комната, в которой развер- 

нута компьютерная сеть, имеющая 20 коннекторов для подключения компьютеров. 

Время от времени студенты работают в этом компьютерном классе, подключая свои 

ноутбуки к сети. Каким количеством ІР-адресов должен располагать администра- 

тор этой компьютерной сети, чтобы все студенты могли подключаться к сети, не 

выполняя процедуру конфигурирования своих ноутбуков при каждом посещении 

компьютерного класса? 

Какие из следующих утверждений верны (выберите вариант ответа): 

а) Ьгоаса$ является частным случаем ши са$е; 

б) Бгоа@са$ является частным случаем апусаз; 

в) ши|Иса$ является частным случаем апусаѕі; 

г) ни один из этих способов рассылки не является частным случаем другого. 

Почему провайдеры при выделении адресов своим клиентам стремятся к тому, чтобы 

адресные пространства сетей, располагающихся территориально по соседству, имели 

совпадающие префиксы? 

Какие из следующих утверждений правильны (выберите вариант ответа): 

а) клиентом 0№-сервера является резольвер; 

б) ПМ№ 5-клиентом является практически каждый узел Интернета; 

в) запись типа АААА файла зоны отображает О№$-имя в [Ру4-адрес; 

г) для каждой зоны существует один первичный и несколько вторичных О№5- 
серверов. 

Сравните таблицу моста или коммутатора с таблицей маршрутизатора. Каким образом 

формируются эти таблицы? Какую информацию содержат? От чего зависит их объем? 

Рассмотрим маршрутизатор на магистрали Интернета. Какие записи содержатся 

в поле адреса назначения его таблицы маршрутизации? Варианты ответов: 

а) номера всех сетей Интернета; 

б) номера некоторых сетей Интернета; 


23. 


24. 


25. 


26. 


27. 
28. 


29. 
30. 


31. 


02. 
33. 


34. 
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в) номера некоторых сетей и адреса некоторых конечных узлов Интернета; 

г) номера сетей, подсоединенных к интерфейсам данного маршрутизатора. 
Сколько записей о маршрутах по умолчанию может включать таблица маршрутиза- 
ции? 

Пусть префикс непрерывного пула ІР-адресов составляет 12 двоичных разрядов. 
Сколько адресов входит в этот пул? Варианты ответов: 

а) 212; 

б) 220. 

в) 212 2; 

г) 122. 

Передается ли в ІР-пакете маска в тех случаях, когда маршрутизация реализуется 
с использованием масок? 


Приведите примеры, когда может возникнуть необходимость в использовании спе- 
цифических маршрутов. 


Какие преимущества дает технология СТОК? Что мешает ее широкому внедрению? 


Почему в записи о маршруте по умолчанию в качестве адреса сети назначения часто 
указывается 0.0.0.0 с маской 0.0.0.0? 


В каких случаях система ОМ№5 использует протокол (ОР ав каких — ТСР? 


Если при обмене данными по методу с возвращением на М пакетов отправитель полу- 
чил квитанцию на (п + 1)-й пакет, а квитанция на предыдущий п-йЙ пакет не пришла, 
то (выберите вариант ответа): 

а) отправитель считает п-й пакет успешно принятым и продолжает передачу; 

6) по истечении тайм-аута отправитель повторно отсылает 7-й пакет; 

в) по истечении тайм-аута получатель повторно отсылает квитанцию на 7-й пакет. 
Как соотносятся размеры окна приема и окна передачи в методе с выборочным по- 
вторением (выберите вариант ответа): 

а) окно передачи больше, чем окно приема; 

б) они равны; 

в) окно приема больше, чем окно передачи. 

Может ли приложение, используя протокол ОРЮР обеспечить надежную связь? 
Какой объем данных получен в течение ТСР-сеанса отправителем ТСР-сегмента, 


в заголовке которого в поле квитанции помещено значение 160005, если известно, что 
первый полученный байт имел номер 15000? 


Укажите, в каком виде передаются квитанции на получение сегментов в протоколе 
ТСР (выберите вариант ответа): 


а) квитанция передается в поле данных ТСР-сегмента с установленным в заголовке 


флагом АСК; 

б) квитанция — это флаг АСК; 

в) квитанция — это значение поля последовательного номера в заголовке ТСР- 
сегмента с установленным флагом АСК; 

г) квитанция — это значение поля подтвержденного номера в заголовке ТСР-сегмента 
с установленным флагом АСК. 
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35. 


36. 


37. 


38. 


39. 


40. 


Проведите с партнером сеанс моделирования работы протокола ТСР. Для этого до- 
говоритесь с ним о максимальном размере сегмента, о начальных размерах буферов, 
о начальном значении порядкового номера, о размерах окна. Затем асинхронно нач- 
ните «посылать» друг другу «сегменты» — карточки, на которых заполнены ключевые 
поля: номер первого байта, размер посылаемого сегмента, номер квитанции и, если 
требуется, новое значение размера окна. Время от времени «теряйте» карточки при 
передаче и выполняйте действия, соответствующие логике ТСР. Не забудьте делать 
временные отметки на каждой копии отправленного сегмента, чтобы отслеживать 
приход квитанций. Выполнение этого задания не только сделает модуль ТСР более 
понятным для вас, но и, что гораздо важнее, породит новые вопросы. 


Как влияет на эффективность передачи протокола ТСР размер окна? Величина тайм- 
аута? 

Может ли работать маршрутизатор, не имея таблицы маршрутизации? Варианты 
ответов: 

а) может, если выполняется маршрутизация от источника; 

б) нет, это невозможно; 

в) может, если выполняется лавинная маршрутизация; 

г) может, если в маршрутизаторе задан маршрут по умолчанию. 

К какому типу относится протокол ОЅРЕ? Варианты ответов: 

а) протокол маршрутизации; 

б) протокол, основанный на алгоритме состояния связей; 

в) адаптивный протокол; 

г) централизованный; 

д) дистанционно-векторный; 

е) внутренний шлюзовый протокол. 

Какие параметры сети учитывают метрики, поддерживаемые протоколом ОЅРЕ? 
Варианты ответов: 

а) пропускная способность; 

б) время передачи; 

в) надежность каналов связи; 

г) количество хопов. 


Поясните, какие недостатки традиционной маршрутизации привели к созданию 5ОМ 
(выберите вариант ответа): 


а) негибкая процедура продвижения трафика на основе единственного поля — адреса 
назначения; 

6) децентрализованные протоколы построения таблиц маршрутизации медленно 
реагируют на изменения топологии сети; 

в) децентрализованные протоколы построения таблиц маршрутизации позволяют 
находить только квази-оптимальные маршруты; 


г) для агрегированных потоков на интернет-магистралях необходима гибкая и адап- 


тивная обработка на основе логического разделения трафика на отдельные по- 
токи; 
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41. 


42. 


43. 


44. 


45. 


46. 


47. 


48. 


д) нестандартный командный язык конфигурирования сетевых устройств препят- 
ствует унификации управления этими устройствами. 


Система, в которой функции сетевых устройств — маршрутизаторов, коммутаторов, 
файерволов и др. — реализуются не на основе аппаратной специализированной плат- 
формы, а программным путем в серверах общего назначения, называется (выберите 
вариант ответа): 

а) виртуальной частной сетью УРМ; 

б) виртуальной локальной сетью УГАМ; 

в) виртуальной сетью МЕҰ. 

Какой МАС-адрес имеет сетевой интерфейс, если известно, что его глобальный уни- 


кальный адрес 2001:718::280:48 ЕЕ: ЕЕЕВ:7960 был получен в результате автоконфи- 
гурирования? 


Какие из записей 1Руб-адреса ЕЕОС:0000:0000:0006:0030:0000:0000:7654 являются 
синтаксически ошибочными (выберите вариант ответа): 

а) ЕЕРС:: 6: 30:0:0:7654; 

6) ЕЕЮсС::0006:30:0:0:7654; 

в) ЕЕРЮС:: 6:30::7654; 

г) ЕЕРС:0:0: 6:3::7654. 

Какие типы адресов определены в [Руб (выберите вариант ответа): 

а) апусаѕі; 

б) ти[иса$е 

в) Бгоа4сазе; 

г) ипісаѕі; 

д) Іоорбаск. 

Объясните назначение группового адреса запрашиваемого узла (Ѕ0о1ісіѓеа-МоЯе 


Ми@са$Е Ааагеѕѕ). Почему в группу, описываемую этим адресом, скорее всего, вхо- 
дит только один узел? 


Поле «Класс трафика» в [Руб аналогично полю «Тип сервиса» в [РуУ4 и используется 
для организации обслуживания с различным уровнем Оо5. Зачем в [Руб введено еще 
одно поле — «Метка потока», также направленное на поддержание Оо5? Какие до- 
полнительные возможности оно предоставляет? 


Чем отличается информация в основном заголовке [Руб от информации заголовка 
[Ру4 (выберите вариант ответа): 

а) в [Руб отсутствует поле «Контрольная сумма»; 

б) в 1РУб появилось новое поле «Метка потока»; 


в) поле «Длина поля данных» имеет большую разрядность, достаточную для задания 
длины джамбограммы; 


г) поля «Адрес источника» и «Адрес назначения» имеют большую разрядность; 
д) основной заголовок [Руб короче заголовка ІРу4. 


Какие из перечисленных технологий наиболее подходят, когда узлы двух сетей [Руб 
необходимо соединить через транзитную сеть ІРу4 (выберите вариант ответа): 
а) транслирование стеков; 
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б) инкапсуляция [Ру4 іп ГРуб; 

в) туннелирование [Руб оуег [Ру4; 
г) мультиплексирование стеков; 
д) двойной стек. 

49. Предложите несколько возможных стратегий поведения владельцев сетей в условиях 
существования двух разных стеков — [Руб и [Ру4. 

50. На веб-сервере и на вашем клиентском компьютере установлен двойной стек: ІРу4 
и [Руб. Каким образом браузер на вашем компьютере может выбрать, по какому про- 
токолу он будет взаимодействовать с этим веб-сервером? 

51. Опишите процедуру проверки наличия дубликата адреса с помощью протокола МЮ 
(рис. 17.9) для случая, когда интерфейс узла А имеет МАС-адрес 0С-1С-09-48-ЕВ- 
5С-65 и неподтвержденный индивидуальный адрес 2001:620:1234:Е8::41. Все осталь- 
ные параметры примера остаются прежними. 


Часть М 


Глобальные 
компьютерные сети 


О Глава 18. Организация и услуги глобальных сетей 
О Глава 19. Транспортные технологии глобальных сетей 


О Глава 20. Технология МРІЅ 


Технология ІР, рассмотренная в предыдущей части книги, позволяет строить составные сети раз- 
личного типа — как локальные, так и глобальные. Протокол ІР стал сегодня протоколом, объединя- 
ющим многочисленные сети операторов связи и предприятий в глобальную мировую компьютерную 
сеть Интернет. Поэтому одной из основных услуг операторов связи, относящейся к транспортным 
услугам компьютерных сетей, стал доступ в Интернет, а операторы связи по совместительству стали 
поставщиками (провайдерами) услуг Интернета. 


Глобальные сети имеют сложную структуру, включающую сети доступа, магистральную сеть и много- 
численные центры данных, с помощью которых провайдеры оказывают высокоуровневые услуги — 
офисных приложений, электронной почты, интернет-телефонии и появляющихся услуг Интернета 
вещей. Структура глобальных сетей и их услуг рассматривается в главе 18. 


Технология ІР не является единственной технологией коммутации пакетов, работающей в глобальных 
сетях. Типичная глобальная сеть имеет многоуровневую структуру, в которой ІР занимает верхний 
уровень (если рассматривать только уровни, обеспечивающие транспортировку данных), а под уров- 
нем ІР работают другие пакетные технологии. Спецификой глобальных сетей является то, что под 
уровнем ІР часто применяются технологии, основанные на технике виртуальных каналов. Причина 
популярности технологий этого типа в том, что они обеспечивают гораздо более высокую степень 
контроля над соединениями между пользователями сети и путями прохождения информационных 
потоков через узлы сети, чем дейтаграммная техника, и это свойство очень привлекательно для 
оператора глобальной сети и провайдера услуг. В главе 19 изучаются основы техники виртуальных 
каналов, а также дается обзор технологий, которые применялись в разное время в глобальных се- 
тях, используя эту технику: Х.25, їгагте геіау и АТМ. В этой главе также рассматриваются технологии 
физического уровня, применяемые в сетях доступа — АБЗЁ и РОМ. 


Опыт сосуществования ІР с технологиями, основанными на механизме виртуальных каналов, привел 
в середине 90-х к появлению гибридной технологии МРЕ$, столь тесно интегрированной с протоко- 
лами стека ІР, что иногда ее называют ІР/МРІЅ. При использовании МРЕ$ протоколы маршрутизации 
стека ТСРЛР служат для исследования топологии сети и нахождения рациональных маршрутов, а про- 
двигаются пакеты на основе техники виртуальных каналов. Интеграция ІР и МРІЅ оказалась очень 
удачной — их комбинация в настоящее время вытеснила из глобальных сетей технологии Егате Веіау 
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и АТМ. МРІЄ сегодня используется в различных качествах — и как внутренняя технология операторов 
связи, дающая высокую степень контроля над трафиком и обеспечивающая быстрое восстановление 
соединений, и как технология, на которой строятся услуги оператора связи. Одной из наиболее по- 
пулярных услуг, оказываемых на основе МРІЅ, является услуга виртуальных частных сетей (МРМ), по- 
зволяющая объединить отдельные территориально рассредоточенные сети некоторого предприятия 
в единую корпоративную сеть с помощью Интернета. Виртуальная частная сеть имитирует свойства 
частной сети: изолированность от сетей других пользователей, предсказуемую производительность 
и безопасность. Технология МРЕЗ$ и услуги УРМ на ее основе изучаются в главе 20. 


Технология Еіћегпеї операторского класса также широко используется в глобальных сетях и тесно 
сосуществует с МРІЅ (подробнее об Ећегпеї см. главу 12). Мобильные телефонные сети сегодня 
стали полноценными ІР-сетями и также могли бы изучаться в этой части книги, но ввиду специфики 
используемой ими радиосреды они будут рассмотрены в следующей части, посвященной беспро- 
водным сетям. 


ГЛАВ 


А 18 Организация и услуги 
глобальных сетей 


Сети операторов связи 


Сегодня глобальные компьютерные сети операторов связи являются движущей силой 
и местом приложения практически всех новых транспортных технологий компьютерных 
сетей. Глобальные компьютерные сети значительно изменились со времени своего по- 
явления в конце 60-х. Одним из показателей этого прогресса служит изменение скорости 
передачи данных транспортными сетевыми технологиями глобальных сетей: 


О 80-е: магистраль Интернета построена на цифровых телефонных каналах 56 Кбит/с; 
магистрали телефонных сетей используют цифровые линии 35—45 Мбит/с. 


О 90-е: в Интернете начинают применяться магистрали ЗОН 155 и 622 Мбит/с. 


О Конец 90-х — начало 2000-х: иерархия скоростей ЗОН повышается до 10 Гбит/с; 
технология О\/ОМ позволяет мультиплексировать в одном оптическом волокне 


до 40-80 каналов по 10 Гбит/с (общая пропускная способность волокна составляет 
400-800 Гбит/с). 


О Начало 2010-х: стандартизован 100С Есћегпеѓ, который начинает применяться на 


магистралях сетей ОТМ. Общая пропускная способность одного волокна повышается 
до 4-8 Тбит/с. 


О Конец 2010-х: стандартизованы версии 200С и 400С Еһегпеѓ, начинают внедряться 
ОТМ, передающие сигналы 400С Еїћегпеї на одной волне, пропускная способность 
одного волокна повышается до 10-30 Тбит/с. 


Прогресс, впрочем, произошел не только в области высокоскоростной передачи данных — 
изменились и структура глобальных сетей, и их услуги. 


Специализированное предприятие, создающее телекоммуникационную сеть для оказания 
общедоступных услуг, владеющее этой сетью и поддерживающее ее работу, называется 
оператором связи ({е|есоттитса оп саггіег). 


Глобальные компьютерные сети операторов связи являются частью их телекоммуникаци- 
онной сети, в которую могут входить и сети других типов: телефонная стационарная сеть, 
телефонная мобильная сеть, телевизионная сеть. С помощью этих сетей операторы связи 
оказывают широкий спектр услуг как конечным пользователям, так и друг другу. 


Операторы связи отличаются друг от друга: 
О набором предоставляемых услуг; 
Ч территорией, в пределах которой предоставляются услуги; 


О типом клиентов, на Которых ориентированы их услуги, 
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Ц имеющейся во владении оператора инфраструктурой — линиями связи, коммутацион- 
ным оборудованием, информационными серверами ит. п.; 


0 отношением к монополии на предоставление услуг. 


Услуги операторов связи 


Современные операторы связи обычно оказывают услуги нескольких типов — как правило, 
это услуги выделенных каналов, телефонии и компьютерных сетей. Все эти услуги могут 
быть сгруппированы и иерархически упорядочены. На рис. 18.1 фрагментарно показана 
взаимосвязь некоторых наиболее популярных современных телекоммуникационных услуг. 


Комбинированные услуги 
ІР-телефония 
ІР-телевидение 
Универсальная служба сообщений 


Услуги телефонии Услуги компьютерных сетей 
Основная услуга – связь абонентов Информационные услуги: 
Дополнительные услуги: веб-сервисы 


голосовая почта электронная почта 
справочная служба социальные сети 
переадресация вызовов облачные вычисления 


Транспортные услуги: 
доступ к Интернету 
объединение сетей 
виртуальные частные сети 


Предоставление физических каналов связи в аренду 


Рис. 18.1. Взаимосвязь услуг телекоммуникационной сети (серые области соответствуют 
традиционным услугам операторов связи) 


Услуги более высокого уровня опираются на услуги нижележащих уровней. Услуги предо- 
ставления каналов связи в аренду относятся к самому нижнему уровню, так как пользова- 
телю приходится при этом самостоятельно выполнять дополнительную работу — строить 
с помощью предоставленных каналов собственную сетевую инфраструктуру (устанавли- 
вать телефонные коммутаторы или коммутаторы и маршрутизаторы компьютерных сетей). 
Обычно к таким услугам обращаются другие операторы связи, у которых для построения 
своей сети нет собственных каналов связи. 


Следующий, более высокий уровень составляют две большие группы услуг: услуги теле- 
фонии и услуги компьютерных сетей. 


Услуги телефонии — это прежде всего знакомая всем нам телефонная связь абонентов. 
Однако с течением времени, наряду с этой традиционной услугой, операторы связи стали 
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предлагать абонентам голосовую почту, справочную службу, переадресацию вызовов, бло- 
кирование определенных номеров, ограничение спама и другие вспомогательные сервисы. 


Услуги компьютерных сетей стали предлагаться намного позже, чем телефонные, однако 
сейчас подавляющее большинство операторов связи предоставляют эти услуги. Они ПОД- 
разделяются на: 


О информационные — веб-сервис, электронная почта, социальные сети и др.; 
О транспортные — доступ в Интернет, создание виртуальных частных сетей. 


Каждый из описанных уровней услуг может быть надстроен услугами более высокого уров- 
ня. Например, на основе простой услуги доступа в Интернет оператор может разработать 
и предложить клиентам в качестве более развитой услуги создание для них веб-порталов 
и размещение их в своей сети. 


Особую популярность завоевали сегодня облачные услуги, которые комбинируют ин- 
формационные и транспортные услуги. В них входит, например, информационная услуга 
«Приложение как сервис», предоставляющая удаленный доступ к арендуемой программе, 
работающей на сервере центра данных провайдера, а также услуга «Инфраструктура как 
сервис», позволяющая арендовать сетевую инфраструктуру провайдера (маршрутизаторы, 
коммутаторы ит. п.) вместе с серверами и устройствами хранения данных. 


Операторы связи применяют различные транспортные технологии — ІР, Ећегпеѓ, МРІ5, 
ОТМ, $ОН, О\/ОМ, работающие на разных уровнях стека протоколов сети, обладают 
различными свойствами и могут работать в различных сочетаниях. Оператор связи ис- 
пользует эти технологии как для создания своих сетей, так и для предоставления услуг 
своим клиентам. Соотношение понятий технология и услуга можно пояснить следующими 
утверждениями: 


У одна и та же технология может быть использована для предоставления различных 
услуг, например технология ІР может служить как для доступа в Интернет, так и для 
организации виртуальной частной сети; 


О одна и та же услуга может быть реализована на основе разных технологий, например 
виртуальную частную сеть можно построить на основе технологий ІР, Ефегпе и МРГ5$; 


О имеются такие услуги, которые можно предоставлять на основе только какой-то одной 
специфической технологии, например услугу выделенной волны можно предоставлять 
только на основе технологии ОМОМ. 


Преобладающий тип услуг отражается в названиях телекоммуникационных компаний. 
Мы говорим «оператор» применительно к традиционным компаниям, основным бизнесом 
которых всегда были телефонные услуги и услуги предоставления каналов связи в аренду. 
Название «провайдер услуг», или «провайдер», стало популярным с массовым распростра- 
нением Интернета и его информационных услуг. 


Потребители услуг 


Все множество клиентов — потребителей инфотелекоммуникационных услуг — можно 
разделить на два больших класса: массовые индивидуальные клиенты и корпоративные 
клиенты. 


В первом случае местом потребления услуг выступает квартира или частный дом, а кли- 
ентами — жильцы, которым нужны прежде всего базовые услуги — телефонная связь, 
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телевидение, радио, доступ в Интернет. Для массовых индивидуальных клиентов очень 
важна экономичность услуги — низкая месячная оплата, возможность использования стан- 
дартных терминальных устройств (телефонные аппараты, телевизионные приемники, пер- 
сональные компьютеры), а также возможность задействовать существующую кабельную 
систему между ближайшим офисом оператора связи и домом клиента. Присутствующая во 
многих местностях традиционная телефонная проводка — серьезное ограничение для пре- 
доставления услуг доступа в Интернет и новых услуг компьютерных сетей, так как она не 
была рассчитана на передачу данных, а подведение к каждому дому нового качественного 
кабеля, например волоконно-оптического, — дело дорогое (хотя этот вариант и становится 
все более доступным). Поэтому для предоставления компьютерных услуг таким клиентам 
разработаны специфические технологии доступа через существующие в доме окончания 
телефонной сети. В этом случае новые скоростные цифровые технологии доступа (051) 
используют телефонную сеть, но только на отрезке между домом клиента и офисом опе- 
ратора связи, а далее данные передаются в обход телефонной сети по компьютерной сети 
с коммутацией пакетов. Существуют также технологии доступа, в которых для передачи 
данных применяется имеющаяся в городе сеть кабельного телевидения. 


Корпоративные клиенты — это предприятия и организации различного профиля. Мелкие 
предприятия по набору требуемых услуг не слишком отличаются от массовых клиентов — 
это те же базовые телефония и телевидение, а также доступ к информационным ресурсам 
Интернета. Крупные предприятия, состоящие из нескольких территориально рассредото- 
ченных подразделений, а также имеющие сотрудников, часто работающих дома, нуждаются 
в расширенном наборе услуг и прежде всего в такой транспортной услуге, как виртуальная 
частная сеть (УРМ), когда оператор связи создает для предприятия иллюзию того, что 
все его отделения и филиалы соединены частной сетью, то есть сетью, полностью принад- 
лежащей предприятию-клиенту и полностью управляемой предприятием-клиентом. На 
самом же деле для создания этой иллюзии используется компьютерная сеть оператора, то 
есть общедоступная сеть, которая одновременно передает данные многих клиентов (под- 
робнее об этом см. главу 22). 


Корпоративные пользователи все чаще получают не только транспортные, но и информа- 
ционные услуги операторов, например услуги хостинга, переносят собственные серверы, 
веб-сайты и базы данных на территорию оператора, поручая последнему поддерживать их 
работу и обеспечивать быстрый доступ к ним для сотрудников предприятия и, возможно, 
других пользователей сети оператора. Получившие в последнее время распространение 
облачные сервисы усилили эту тенденцию, позволяя корпоративным пользователям (и ин- 
дивидуальным тоже) получать информационные услуги прозрачным способом, не заботясь 
об установке, конфигурировании и сопровождении серверов и программного обеспечения. 


Инфраструктура 


На формирование набора предлагаемых оператором услуг оказывает серьезное влияние 
материально-технический фактор. Так, для оказания услуг по аренде каналов оператор 
должен иметь в своем распоряжении первичную сеть ЗОН/ОТМ/О\У/ ОМ, а для оказания 
услуг виртуальных частных сетей — маршрутизаторы с функциональностью МРГ.$ или 
коммутаторы Сагиег Ефегпег. Укрупненно типичная сеть оператора связи имеет двух- 
слойную структуру, с нижним уровнем первичной сети, служащей фундаментом для 
двух наложенных сетей — телефонной и компьютерной глобальной сети. Телефонная 
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и глобальная компьютерная сети раньше чаще всего представляли собой параллельные 
инфраструктуры, не связанные или слабо связанные друг с другом. Сегодня, с переходом 
стационарных и мобильных телефонных сетей на протоколы ТСРЛР и использующих 
Интернет как магистральную сеть, связывающую центры данных операторов этих сетей, 
произошла интеграция этих сетей в общую телекоммуникационную [Р-сеть. 


Структура глобальной компьютерной сети оператора связи в целом соответствует обоб- 
щенной структуре сети (см. раздел «Классификация компьютерных сетей» главы 4). Она 
состоит из магистральной сети, сетей агрегирования трафика и сетей доступа (рис. 18.2). 


ә Мобильные 
У. Г, пользователи 
{7 „Интернета вещей 


8 _ 


Центр данных 


2 Периферийный 
центр данных 


2 


Сеть доступа 


Сеть доступа 


Магистральная \ сеть 


Сеть доступа 


Глобальная сеть и агрегирования 


Пользователи П Е 


О О С Пользовательская сеть 
Рис. 18.2. Структура глобальной сети 


Коммуникационное оборудование пользователей взаимодействует с пограничным обо- 
рудованием сети доступа оператора связи по некоторому интерфейсу, называемому интер- 
фейсом пользователь — сеть (О5ег МесуогК Іпѓегѓасе, ОМІ). Для предоставления инфор- 
мационных компьютерных услуг в сети имеются центры данных, представляющие собой 
локальную сеть с коммутаторами, маршрутизаторами и серверами, на которых работает 
программное обеспечение, с помощью которого провайдеры предоставляют разнообразные 
услуги: веб-сервисы, [Р-телефонию, облачные сервисы и т. п. Там могут также находиться 
серверы пользователей, если оператор предоставляет услуги хостинга. 


В сети имеются магистральные центры данных, подключенные к маршрутизаторам маги- 
страли, а также периферийные центры данных, расположенные в сетях доступа, в непо- 
средственной близости от пользователей. Распределение в сетях доступа вычислительных 
ресурсов провайдера между крупными центрами данных, находящимися на магистрали 
сети, и небольшими центрами данных, находящимися на периферии сети, получило на- 
звание периферийных вычислений (Е45е Сотрийпг). Эта сравнительно новая тенденция 
отражает потребность пользователей нового типа — объектов Интернета вещей — обме- 
ниваться данными с управляющими ими приложениями с минимальной задержкой, так 
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как управление происходит в реальном масштабе времени. Поэтому такие приложения 
создаются распределенными, состоящими из нескольких частей. Части, выполняющие 
функции, требующие наиболее быстрой реакции на изменение состояния управляемого 
объекта, работают на серверах центров данных сетей доступа; части, выполняющие фоно- 
вые функции, не требующие такой быстрой реакции, работают на серверах магистральных 
центров данных. 


Сети доступа для объектов Интернета вещей могут быть как проводными, так и бес- 
проводными. Беспроводные сети доступа применяются для связи с такими мобильными 
объектами, как роботы, автомобили. В цехах фабрик и заводов беспроводная связь также 
более предпочтительна. На рис. 18.2 показана одна беспроводная сеть доступа. Она может 
быть сетью технологии УЛ -Е! или же радиосетью мобильной сети 5С, технология которой 
разработана и для услуг Интернета вещей (о технологиях мобильных сетей см. главу 23). 


Отдельную группу ресурсов центра данных составляют серверы и программы систем 
управления сетью, помогающие администратору сети выполнять свою работу. Сети цен- 
тров данных обычно присоединены непосредственно к магистрали сети (как показано на 
рис. 18.2), чтобы обеспечить быстрый доступ к информационным ресурсам всем пользо- 
вателям сети независимо от того, к какой именно сети доступа они подключены. Вместе 
с тем возможно и подключение центров данных к сетям агрегирования трафика для при- 
ближения их к конечным пользователям. 


В тех случаях, когда у оператора отсутствует вся необходимая инфраструктура для ока- 
зания некоторой услуги, он может воспользоваться возможностями другого оператора; 
требуемая услуга может быть сконструирована на базе инфраструктуры партнера, а также 
собственных элементов инфраструктуры. Например, оператор связи может создать обще- 
доступный веб-сайт электронной коммерции, не имея собственной ІР-сети, соединенной 
с Интернетом. Для этого ему достаточно создать информационное наполнение сайта и раз- 
местить его на компьютере другого оператора, сеть которого имеет подключение к Интер- 
нету. Другим типичным примером такого рода является аренда оператором физических 
каналов связи для создания собственной телефонной или компьютерной сети с тем, чтобы 
на ее основе оказывать услуги своим клиентам. Оператора, который предоставляет услуги 
другим операторам связи, часто называют оператором операторов (саггіег оё саггіегѕ). 


Каждая из сетей — магистральная, агрегирования трафика и доступа — предъявляет 
специфические требования к транспортным технологиям. Мы увидим, какие технологии 
преобладают в сетях каждого типа, в следующей главе при рассмотрении стека протоколов 
глобальной сети. 


Территория покрытия 


По степени покрытия территории, на которой предоставляются услуги, операторы делятся 
на локальных, региональных, национальных и транснациональных. 


Локальный оператор работает на территории городского или сельского поселения. Тра- 
диционный локальный оператор владеет всей соответствующей транспортной инфра- 
структурой: физическими каналами между помещениями абонентов (квартирами, домами 
и офисами) и узлом связи, автоматическими телефонными станциями (АТС) и каналами 
связи между телефонными станциями. Сегодня к традиционным локальным операторам 
добавились альтернативные операторы, которые часто являются поставщиками услуг 
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нового типа, прежде всего услуг Интернета, но иногда конкурируют с традиционными 
операторами и в секторе телефонии. 


Региональные и национальные операторы оказывают услуги на большой территории, рас- 
полагая соответствующей транспортной инфраструктурой. Традиционные операторы этого 
масштаба выполняют транзитную передачу телефонного трафика между телефонными 
станциями локальных операторов, имея в своем распоряжении крупные транзитные АТС, 
связанные высокоскоростными физическими каналами связи. Это — операторы операто- 
ров: их клиентами являются, как правило, локальные операторы или крупные предприятия, 
имеющие подразделения в различных городах региона или страны. Располагая развитой 
транспортной инфраструктурой, такие операторы обычно оказывают услуги дальней связи, 
передавая транзитом большие объемы информации без какой-либо обработки. 


Транснациональные операторы оказывают услуги в нескольких странах. Они имеют 
собственные магистральные сети, покрывающие иногда несколько континентов. Часто 
подобные операторы тесно сотрудничают с национальными операторами, используя их 
сети доступа для доставки информации клиентам. 


Взаимоотношения между операторами связи 


Взаимосвязи между операторами различного типа (а также их сетями) иллюстрирует 
рис. 18.3, на котором показаны и индивидуальные, и корпоративные клиенты. Нужно 
иметь в виду, что каждый клиент обычно нуждается в услугах двух видов — телефонных 
и передачи данных. Индивидуальные клиенты имеют в своих домах или квартирах, как 
правило, телефон и компьютер, а у корпоративных клиентов имеются соответствующие 
сети — телефонная, поддерживаемая офисным телефонным коммутатором (РВХ), и ло- 
кальная сеть передачи данных, построенная на собственных коммутаторах. 


Для подключения оборудования клиентов операторы связи организуют так называемые 
точки присутствия (Роше ОЁ Ргезег(з, РОР) — здания или помещения, в которых разме- 
щается оборудование доступа, способное подключить большое количество каналов связи, 
идущих от клиентов. Иногда такую точку называют центральным офисом (Сешга| ОЁйсе, 
СО) — это традиционное название для операторов телефонных сетей. К. РОР локальных 
операторов подключаются абоненты, а к РОР операторов верхних уровней — операторы 
нижних уровней или крупные корпоративные клиенты, которым необходимы высокие 
скорости доступа и большая территория покрытия, объединяющая их офисы и отделения 
в разных городах и странах. 


Так как процесс конвергенции пока еще не привел нас к появлению единой сети для всех 
видов трафика, то за каждым овалом, представляющим на этом рисунке сети операторов, 
стоят две сети — телефонная и компьютерная (но опирающиеся на один и тот же фунда- 
мент — первичную сеть). Как видно из рисунка, в современном конкурентном телеком- 
муникационном мире нет строгой иерархии операторов, взаимосвязи между ними и их 
сетями могут быть достаточно сложными и запутанными. Например, сеть локального 
оператора 5 имеет непосредственную связь не только с сетью регионального оператора 3, 
как того требует иерархия, но и непосредственную связь с национальным оператором 3 
(возможно, этот оператор предлагает более дешевые услуги по передаче международного 
трафика, чем региональный оператор 3). Некоторые операторы могут не иметь собствен- 
ной транспортной инфраструктуры (локальный оператор 1). Как это часто бывает в таких 
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Рис. 18.3. Взаимоотношения между операторами связи различного типа 


случаях, локальный оператор 1 предоставляет только дополнительные информационные 
услуги, например предлагает клиентам локального оператора 2 видео по требованию или 
разработку и поддержание их домашних страниц в Интернете. Свое оборудование (на- 
пример, видеосервер) такой оператор часто размещает в РОР другого оператора, как это 
и показано в данном случае. 


Организация Интернета 


Интернет представляет собой уникальную глобальную компьютерную сеть, так как поч- 
ти все существующие компьютерные сети (за исключением разве что некоторых сетей, 
требующих особых мер защиты от вторжений и потому полностью изолированных от 
Интернета) и отдельные компьютеры являются частью этой сети. Поэтому протокол ІР 
является обязательным и единственным протоколом сетевого уровня, объединяющим все 
сети в Интернете, уникальность которого проявляется во многих отношениях. 


Прежде всего, Интернет — это самая большая в мире сеть: по числу пользователей, по 
территории покрытия, по суммарному объему передаваемого трафика, по количеству вхо- 
дящих в ее состав сетей. Темпы роста Интернета, хотя и снизились по сравнению с перио- 
дом интернет-революции середины 90-х, остаются очень высокими и намного превышают 
темпы роста телефонных сетей. 
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Интернет — это сеть, не имеющая единого центра управления и в то же время работающая 
по единым правилам и предоставляющая всем своим пользователям единый набор услуг. 
Интернет — это «сеть сетей», но каждая входящая в Интернет сеть управляется неза- 
висимым оператором — провайдером услуг Интернета (Пцегпее Ѕегуісе Ргоуійег, І$Р). 
Некоторые центральные органы существуют, но они отвечают только за единую техни- 
ческую политику, за согласованный набор технических стандартов, за централизованное 
назначение таких жизненно важных для гигантской составной сети параметров, как имена 
и адреса компьютеров и входящих в Интернет сетей, но не за ежедневное поддержание 
сети в работоспособном состоянии. Такая высокая степень децентрализации имеет свои 
достоинства и недостатки. 


Достоинства проявляются, например, в легкости наращивания Интернета. Так, новому 
поставщику услуг достаточно заключить соглашение, по крайней мере, с одним из суще- 
ствующих провайдеров, после чего пользователи нового провайдера получают доступ ко 
всем ресурсам Интернета. Негативные последствия децентрализации заключаются в слож- 
ности модернизации технологий и услуг Интернета. Любые коренные изменения требуют 
согласованных усилий всех провайдеров услуг, тогда как в случае «одного собственника» 
они проходили бы намного легче. Недаром многие новые технологии пока применяются 
только в пределах сети одного поставщика, примером может послужить технология группо- 
вой рассылки, которая очень нужна для эффективной организации аудио- и видеовещания 
через Интернет, но все еще пока не может преодолеть границы, разделяющие сети различ- 
ных провайдеров. Другой пример — не очень высокая надежность услуг Интернета, так как 
никто из провайдеров не отвечает за конечный результат, например за доступ клиента А 
к сайту В, если они находятся в сетях разных поставщиков. 


Стремительный рост числа пользователей Интернета, привлекаемых информацией, содер- 
жащейся на его сайтах, изменил отношение корпоративных пользователей и операторов 
связи к этой сети. Сегодня Интернет поддерживается практически всеми традиционными 
операторами связи. Кроме того, к ним присоединилось большое количество новых опера- 
торов, построивших свой бизнес исключительно на услугах Интернета. 


Поэтому общая структура Интернета, показанная на рис. 18.4, во многом является отра- 
жением общей структуры всемирной телекоммуникационной сети, фрагмент которой мы 
уже видели на рис. 18.3. 


Магистральные провайдеры услуг являются аналогами транснациональных операто- 
ров связи. Они обладают собственными транспортными магистралями, покрывающими 
крупные регионы (страна, континент, весь земной шар). Примерами магистральных про- 
вайдеров услуг являются такие компании, как СаЫе & \Мгеез$, МогІаСот, С]оБа| Опе. 


Соответственно, региональные провайдеры услуг оказывают услуги Интернета в рамках 
определенного региона (штат, графство, округ — в зависимости от принятого в той или 
иной стране административного деления), а локальные провайдеры услуг работают, как 
правило, в пределах одного города. 


Связи между поставщиками услуг строятся на основе двухсторонних соглашений о взаим- 
ной передаче трафика. Такие соглашения называют пиринговыми (от англ. реег — равный 
в статусе). Магистральный оператор обычно имеет пиринговые соглашения со всеми 
остальными магистральными операторами (так как их немного), а региональные опера- 
торы, как правило, заключают такие соглашения с одним из магистральных операторов 
и с несколькими другими региональными операторами. Чтобы провайдерам было проще 
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Рис. 18.4. Структура Интернета 


организовывать свои пиринговые связи, в Интернете существуют специальные центры 
обмена трафиком, в которых соединяются сети большого количества провайдеров. Такие 
центры обмена обычно называются Іпѓегпеё еХсһапве Роше (ХР) или М№ъМемогк Ассеѕѕ 
Роше (МАР). 

Центр обмена трафиком является средством реализации пиринговых связей, предоставляя 
поставщикам услуг помещение и стойки для установки коммутационного оборудования. 
Все физические и логические соединения между своим оборудованием провайдеры услуг 
выполняют самостоятельно. Это значит, что не все сети провайдеров, которые пользуются 
услугами того или иного центра обмена данными, автоматически обмениваются трафиком 
друг с другом, а межсетевой обмен происходит только в том случае, когда между провай- 
дерами заключено пиринговое соглашение и они его реализовали в данном центре обмена. 


В Интернете существует неофициальная градация провайдеров Интернета по уровням ((іегѕ) 
в зависимости от того, кто из них и кому платит за передачу транзитного трафика Интернета. 
Провайдеры верхнего уровня (Тег 1 — это, как правило, провайдеры интернационального 
и национального масштаба) могут достичь любую часть Интернета без платы за транзитный 
трафик — у них у всех имеются некоммерческие пиринговые соглашения друг с другом. Про- 
вайдеры второго уровня (Тег 2) относятся к смешанному типу — с одними провайдерами 
у них имеются некоммерческие пиринговые соглашения, с другими — договоры о плате за 
транзит своего трафика. Провайдеры третьего уровня ("ег З) совсем не имеют бесплатных 
пиринговых соглашений и платят другим провайдерам за транзит своего трафика. 
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Многослойное представление технологий 
и услуг глобальных сетей 


Многоуровневый стек транспортных протоколов 


Стек транспортных протоколов оператора связи состоит из нескольких уровней. Соответ- 
ственно, сеть оператора связи состоит из нескольких слоев оборудования, их число может 
быть меньше, чем число уровней реализуемого стека протоколов, так как некоторые ком- 
муникационные устройства могут выполнять функции протоколов нескольких смежных 
уровней, например мультиплексор О\/ОМ может включать модули мультиплексора ОТМ. 
Протокол определенного уровня может быть использован в двух целях: 


О для предоставления услуг протоколам вышележащих уровней сети оператора; 
Ч для реализации транспортных услуг клиентов. 


Обобщенная структура слоев типичной сети оператора связи, который также играет роль 
поставщика услуг Интернета, показана на рис. 18.5. 
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Рис. 18.5. Многослойная структура сети оператора связи/поставщика услуг Интернета 


На рисунке показаны уровни протоколов сетей с коммутацией пакетов, то есть компьютер- 
ных сетей, и слои технологий первичных сетей, которые используют принцип коммутации 
каналов. Модель ОЗ] не различает уровни протоколов сетей с коммутацией каналов — для 
нее они все представляют один физический уровень (вместе со средой передачи данных), 
но для понимания организации сети оператора связи полезно разбивать этот уровень как 
минимум на три слоя (см. рис. 18.5): 


О слой технологии О\/ЮМ оперирует с каналами-волнами (иногда его называют нулевым 
уровнем); 


592 Часть М Глобальные компьютерные сети 


ЧО слой технологии $ЗОН/ОТМ оперирует цифровыми двухточечными каналами (первый 
уровень); 


О слой физической среды строится на волоконно-оптических и медных кабелях, а также 
на беспроводной среде. 


Внутренняя структура слоя технологий ЗОН и ОТМ№, состоящая из нескольких уровней 
протоколов, на рисунке не отражена, поскольку несущественна при укрупненном рассмо- 
трении стека протоколов глобальной сети оператора связи. Так как в этой части книги мы 
рассматриваем транспортные технологии глобальных сетей, то наш интерес заканчивается 
уровнем протокола ІР то есть сетевым уровнем, который является высшим обязательным 
уровнем протоколов транспортной подсистемы сети. 


На рисунке показано, что на всех уровнях и слоях, кроме верхнего, существуют различные 
протоколы и технологии, решающие одни и те же задачи, но разными способами и с раз- 
ной функциональностью. Например, на канальном уровне существуют протоколы МРІ.5, 
Саггіег Ефегпе и РРР. Мы пока еще не познакомились с этими и другими протоколами, 
представленными новыми аббревиатурами на рисунке, но для понимания общей картины 
пока достаточно знать, что это протоколы канального уровня (можно только добавить, что 
Саггіег Е%һегпеѓ является версией Есһегпеќ для сетей операторов связи — эта технология со- 
храняет все свойства коммутируемого варианта ЕВегпе*, добавляя к ним некоторые допол- 
нительные функции, полезные для мониторинга качества соединений в глобальной сети). 
Кроме того, одна и та же задача может решаться разными слоями, например услуга УРМ 
может предоставляться с помощью сетевого и канального уровней. Функциональность 
услуги в общем случае зависит от того, с помощью какого уровня она предоставляется. 
Поэтому у оператора связи имеется возможность выбирать на каждом уровне из имеюще- 
гося набора однотипных протоколов какой-то один протокол, наиболее подходящий для 
решения его задач. Полученная в результате комбинация определяет специфический стек 
протоколов данной сети, например [Р-МРГЕ.5-ОТМ-О\МУОМ или ІР-РРР-5рН-р№рм. 


Необходимо помнить и о территориальной структуре сети, то есть о том, что она состоит из 
магистральной сети, сетей агрегирования трафика и сетей доступа. Для магистральной сети 
и сетей доступа применяются практически одни и те же технологии. Отличия заключаются 
только в скорости каналов и протоколов. Если в магистральной сети преобладают скоро- 
сти 10 и 100 Гбит/с, то в сетях агрегирования трафика он на порядок ниже: 1 и 10 Гбит/с, 
что позволяет сбалансировать нагрузку этих сетей. В сетях доступа обычно применяются 
технологии, учитывающие специфику топологии ( «звезда», от офиса оператора связи до 
домов индивидуальных пользователей и зданий организаций) и линий связи (телефонные 
медные окончания, телевизионный кабель). Эта специфика отражена на рисунке. 


Технологии и услуги физического уровня 


Особенностью глобальных сетей является сложная структура физического уровня. На фи- 
зическом уровне локальных сетей используются только кабели. В глобальных же сетях для 
создания канала между двумя коммутаторами или маршрутизаторами, как правило, при- 
меняются устройства первичных сетей, такие как мультиплексоры или кросс-коннекторы 
сетей РОН, $ОН, ОТМ или О\/ОМ, о которых мы достаточно подробно писали в главах 8 
и 9. Первоначально технологии первичных сетей предназначались только для внутренних 
целей операторов связи в качестве гибкого средства соединения телефонных коммутаторов, 
то есть для гибкого создания каналов между их собственными коммутаторами, изначально 
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телефонными, а потом и пакетными. Постепенно с ростом популярности компьютерных 
сетей технологии первичных сетей стали применяться для предоставления транспортных 
услуг конечным пользователям. На рис. 18.5 показаны три типа услуг, которые предостав- 
ляются операторами связи с помощью трех нижних слоев их сети: 


О Услуга выделенных оптических волокон. Обычно эту услугу один оператор, обладаю- 
щий развитой кабельной инфраструктурой со свободными оптическими кабелями 
или волокнами, оказывает другому оператору, который затем строит на этих волокнах 
собственную первичную сеть, соединяя с помощью волокон мультиплексоры О\/ОМ/ 
ОТМ или ЅрН. Волокна, сдаваемые в аренду, часто называют темными волокнами (4агк 
бте), так как они не подключены к оборудованию передачи данных и не «подсвечены» 
лазерными передатчиками. 


Ч Услуга выделенных волновых каналов. Потребителями этой услуги могут быть как 
операторы связи, так и корпоративные пользователи. Обычно такая услуга предостав- 
ляется в формате кадров ОТМ или ЗОН высшего уровня иерархии скорости, который 
в настоящее время для обеих технологий равен 100 Гбит/с. Пользователь может задей- 
ствовать волновой канал для построения собственной первичной сети, соединяя таким 
образом свои мультиплексоры ОТМ или ЗОН, а может непосредственно соединить [Р- 
маршрутизаторы, имеющие соответствующие интерфейсы (ОТМ или $ОН). Обычно 
[Р-маршрутизаторы обладают так называемыми «серыми» интерфейсами ЮН или 
ОТМ; это означает, что они работают с неокрашенными волнами, соответствующими 
центру окна прозрачности, например с волной 1310 нм. Чтобы использовать опреде- 
ленную волну О\/ОМ, отличающуюся от «серой» волны, например волну 1528,77 нм, 
необходим транспондер — устройство преобразования длин волн. Транспондер являет- 
ся частью мультиплексора О\/УОМ, принимающего «серую» волну от маршрутизатора 
и преобразующего ее в волну нужного цвета для дальнейшей передачи по сети О\/ОМ. 
Новой тенденцией являются маршрутизаторы с «окрашенными» интерфейсами, то есть 
с интерфейсами, которые смогут настраиваться на генерацию определенной волны из 
сетки частот О\/ОМ, в этом случае транспондеры мультиплексоров ОҰУ ОМ не нужны. 


О Услуга выделенного соединения по протоколу ОТМ, $5ОН или РОН. Это наиболее тра- 
диционная услуга оператора связи; она была очень востребована в 1980-1990-е годы 
корпоративными клиентами, которые, соединяя выделенными каналами свои ІР- 
маршуртизаторы, строили собственную корпоративную компьютерную сеть. Со време- 
нем услуги выделенных каналов для построения корпоративной сети стали вытесняться 
более дешевыми и гибкими услугами глобальных сетей с коммутацией пакетов (Нате 
гейау, АТМ, МРГ5$) и Интернета. Операторы ІР-сетей, не имеющие своей инфраструк- 
туры физических каналов связи, по-прежнему пользуются этими услугами, покупая 
их у операторов связи. 


Технологии и услуги сетей коммутации пакетов 


Примером услуг, предоставляемых операторами связи на основе технологий канального 
и сетевого уровней, являются доступ в Интернет и связывание территориально разнесен- 
ных локальных сетей. 


Доступ в Интернет — это услуга, предоставляемая операторами связи — провайдерами 
Интернета. Благодаря тому что ІР-сети операторов связи объединены в глобальную сеть 
Интернет, потребитель этой услуги теоретически получает доступ ко всем узлам Интернета 
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и ко всем их услугам. В соответствии с принципами работы [Р-сетей, даже в том случае, 
когда интересующий клиента узел находится в сети, не принадлежащей провайдеру услуги, 
пакеты клиента могут его достичь через сети других операторов. Услуга доступа в Интернет 
является транспортной, то есть сама по себе она не предоставляет никаких прикладных 
сервисов (веб-сервис или сервис ІР-телефонии). Эти прикладные сервисы работают поверх 
службы доступа в Интернет, и для самого транспорта Интернета они прозрачны. 


Объединение локальных сетей клиентов может выполняться как на ІР-уровне, так и на 
канальном уровне. Определяющим в выборе решения, на каком уровне объединять сети, 
является тип адресации, используемый для этой операции. Если сети объединяются на 
основе их [Р-адресов, то это объединение на ІР-уровне. Если же это объединение про- 
исходит без учета ІР-адресов узлов объединяемой сети, а с учетом адресов канального 
уровня, то это объединение на канальном уровне. Обратите внимание, что в том и другом 
случаях объединяемые сети обмениваются ІР-пакетами, которые инкапсулированы в ка- 
дры канального уровня, однако при оказании услуги канального уровня эти пакеты не 
принимаются во внимание. 


На ІР-уровне объединение локальных сетей может быть организовано как дополнительная 
услуга на основе услуги доступа в Интернет. Для этого оператор должен выделить клиенту 
пул публичных ІР-адресов для назначения их узлам локальных сетей и обеспечить марш- 
рутизацию этих адресов в Интернете. 


Услуга виртуальных частных сетей (УРМ) является важным типом услуги объединения 
локальных сетей, так как она обладает несколькими критичными для клиентов свойствами, 
создающими эффект изолированности клиентских сетей. Она может предоставляться как 
на [Р-уровне, так и на канальном уровне. 


При объединении сетей клиентов на канальном уровне эти сети обмениваются трафиком 
через сеть канального уровня провайдера услуги, то есть через сеть МРІ5 или Сагпег 
Еегпе{. Маршрутизаторы провайдера услуг в этой операции не участвуют, трафик кли- 
ентских сетей в них не заходит. 


Модели межуровневого взаимодействия 
в стеке протоколов глобальной сети 


Каждый уровень стека протоколов, кроме верхнего, оказывает внутренние транспортные 
услуги следующему уровню протоколов иерархии стека, перенося его сообщения. Имеется 
принципиальное различие в функциональности такой транспортной услуги в зависимости 
от того, выполняет ли данный уровень коммутацию своих кадров (другими словами, есть 
ли на данном уровне сеть коммутаторов) или же он служит только для «кадрирования» 
сообщений верхнего уровня, а коммутация выполняется на других уровнях стека про- 
токолов. От того, как реализован тот или иной уровень стека протоколов — по первому 
варианту (коммутация) или по второму (кадрирование) — зависит функциональность 
многослойной глобальной сети и ее возможности по предоставлению транспортных услуг: 
понятно, что уровень, в котором не поддерживается коммутация, не может использоваться 
для предоставления независимых услуг, у него просто отсутствуют для этого возможности. 


В многоуровневой модели стека протоколов глобальной сети есть два уровня, которые 
могут быть реализованы по первому или второму вариантам, — это канальный уровень 
сети с коммутацией пакетов и верхний слой первичной сети, то есть слой ОТМ или $ОН. 
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Поддержка [Р-маршрутизаторов канальным уровнем. В первом варианте на канальном 
уровне работает сеть, выполняющая коммутацию кадров (рис. 18.6), — сеть МРГ.$ или 
Есћегпеѓ. 


ІР-уровень 


Канальный 
уровень 


Рис. 18.6. Взаимодействие ІР-сети с сетью канального уровня 


В этом варианте ІР-маршрутизаторы не имеют непосредственных физических связей 
между собой (то есть связей любого типа, обеспечиваемых физическим уровнем — каналов 
ЗОН, ОТМ, ОУРЮМ или кабельных связей). Вместо этого они соединены такими связями 
с коммутаторами канального уровня, например коммутаторами Саггіег Е‹ћегпеє. Сеть ком- 
мутаторов канального уровня обеспечивает передачу пакетов между ІР-маршутизаторами. 
Например, если маршрутизатору К1 нужно передать пакет маршрутизатору К2, то он от- 
правляет его коммутатору 51 с указанием адреса канального уровня, ведущего через сеть 
этого уровня к интерфейсу маршрутизатора К2. Сеть канального уровня сама решает зада- 
чу маршрутизации пакета, в нашем примере этот маршрут проходит через промежуточный 
коммутатор 52, азатем коммутатор 53 передает пакет маршрутизатору назначения, то есть 
К2. Сеть канального уровня в этом варианте может использоваться и для предоставления 
услуг на своем уровне для внешних потребителей. Во втором варианте у оператора нет 
сети канального уровня, а [Р-маршрутизаторы непосредственно связаны друг с другом 
с помощью связей физического уровня (рис. 18.7). 


Отсутствие сети канального уровня не означает, что протокол канального уровня отсут- 
ствует в стеке протоколов сети оператора связи. Просто он представлен только в интер- 
фейсах маршрутизаторов, которые инкапсулируют в его кадры 1Р-пакеты и отправляют 
их по физическому каналу связи интерфейсу следующего маршрутизатора, а техника 
коммутации пакетов в этом варианте работает только на 1Р-уровне. Канальный уровень 
используется лишь для оформления кадров, например кадров Е{фегпей, то есть выполняет 
функции кадрирования ІР-пакетов. Но и в этом урезанном качестве протокол канального 
уровня может быть полезен, если он выполняет функции, не поддерживаемые прото- 
колом ІР, например обеспечивает контроль достоверности получаемых кадров за счет 
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ІР-уровень 


Рис. 18.7. Непосредственное взаимодействие ІР-маршрутизаторов 


контрольной суммы или позволяет выполнять мониторинг временных характеристик 
потока пакетов. Однако независимые транспортные услуги (например, услуги УРМ ка- 
нального уровня) с помощью этого варианта канального уровня предоставлять нельзя. 
Иногда такую модель называют «чистой» [Р-сетью, имея в виду тот факт, что коммутация 
(маршрутизация) выполняется только на [Р-уровне. 


На рис. 18.6 существование двух вариантов работы ІР-протокола с канальным уровнем 
отражается высотой канального уровня: он выше в тех случаях, когда на канальном уров- 
не имеется сеть с коммутацией кадров (МРІ.5, Саггіег Есћегпеї), и ниже для случаев ее 
отсутствия (РРР, Саггіег Ећегпеѓ). Протокол Сагиег Ефегпе попал в оба варианта, так 
как с его помощью можно как построить сеть коммутаторов Е(ћегпеѓ, так и применять 
этот протокол только на интерфейсах 1Р-маршрутизаторов. Протокол РРР разработан 
специально для работы в двухточечной топологии, и коммутацию кадров он не поддер- 
живает. 


У каждого из рассмотренных двух вариантов имеются свои достоинства и недостатки. Кро- 
ме уже обсужденного преимущества канального уровня с коммутацией по предоставлению 
внешних услуг, этот вариант может также помочь разгрузить ІР-маршрутизаторы, пере- 
давая часть устойчивых и высокоскоростных потоков данных исключительно средствами 
канального уровня. С другой стороны, вариант без сети канального уровня проще, так как 
оборудования в сети становится на один уровень меньше. 


Поддержка ІР-маршрутизаторов оптическими технологиями. В том случае, когда ІР- 
маршрутизаторы соединены непосредственно каналами физического уровня (то есть 
коммутация на канальном уровне отсутствует), могут работать две популярные модели 
стека протоколов, называемые ЇР поверх ОТМ и ІР поверх О\УШМ. Они отличаются 
наличием коммутации в слое ОТМ глобальной сети. Модель «ІР поверх 5ОН» также 
применяется, для рассматриваемого нами вопроса она аналогична модели «ІР поверх 
ОТМ№,. В модели «ІР поверх ОТМ» ІР-маршрутизаторы соединяются с помощью каналов, 
образованных ОТМ№-коммутаторами. ОТМ/5ОН-коммутация позволяет создавать каналы 
различной пропускной способности, от 2,5 до 100 Гбит/с (в случае ОТМ-коммутации), 
что дает оператору возможность строить магистральную ІР-сеть и [Р-сети агрегирования 
трафика достаточно гибко — из маршрутизаторов с различной производительностью 
и скоростью интерфейсов. 


В модели «ІР поверх О\/ОМ» отсутствует уровень ОТМ-коммутации, ІР-маршрутизаторы 
подключаются непосредственно к портам ОЎУ О М-мультиплексора. В этой модели ОТМ 
присутствует только как «кадрирующая» технология, то есть ІР-пакеты инкапсулируются 
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в ОТ№-кадры, которые принимаются портами мультиплексора ОМ РМ, также использу- 
ющими ОТ№-кадрирование. Коммутация на физическом уровне происходит только на 
основе техники ОУ/ОМ, то есть коммутируются волны, но не блоки данных ОТМ. Учи- 
тывая, что коммутация волн пока не обладает большой гибкостью, можно считать, что 
[Р-маршрутизаторы соединены в этой модели постоянными связями, а коммутация про- 
исходит только на [Р-уровне. Для обеспечения высокой производительности магистрали 
интерфейсы ІР-маршрутизаторов в этой модели обычно поддерживают максимально воз- 
можную скорость передачи данных, предоставляемую мультиплексорами О\/ЮМ, скорость 
которой сегодня — 400 Гбит/с. Модель «ІР поверх ОУ ОМ» применяется для построения 
магистралей сетей. Для сетей агрегирования трафика она недостаточно гибкая (только 
один уровень скорости интерфейсов) и слишком дорогая (интерфейсы маршрутизаторов, 
способные работать с мультиплексорами О\/ОМ, должны быть «окрашенными», то есть 
генерировать волну из частотного плана ОУ/ОМ, а это требует установки в интерфейсе 
дорогостоящих оптических компонентов). 


Мы рассмотрели два типа моделей стека глобальной сети, «ІР поверх О\/ОМ» и «ІР по- 
верх ОТМ», отличающихся наличием или отсутствие коммутации в слое ОТМ/5 ОН, при 
этом обе модели подразумевают отсутствие коммутации на канальном уровне. Применяют- 
ся и две другие модели, в которых имеется коммутация на канальном уровне. В том случае, 
когда коммутация имеется и на канальном уровне, и на уровне ОТМ, говорят о полной 
модели стека. Четвертая модель, с коммутацией на канальном уровне и ее отсутствием на 
уровне ОТМ№, специального названия не имеет. 


Облачные сервисы 


Концепция облачных вычислений 


До недавнего времени пользователи компьютерной сети твердо знали, на каких компью- 
терах работают программы, обрабатывающие их данные. Это были либо их собственные 
компьютеры, на которых пользователи запускали текстовые процессоры или программы 
подготовки презентаций, либо корпоративный сервер, размещенный в центре данных 
предприятия. 


Новая концепция организации вычислений, получившая название облачных вычислений 
(сІоца сотрибіпе), изменяет привычный мир пользователя, так как в соответствии с ней 
компьютер, который выполняет программу пользователя, находится где-то в «облаке» 
вычислительных ресурсов — процессоров, оперативной памяти, дисковых накопителей. 
Облачные вычисления позволяют разгрузить пользовательский компьютер и перенести 
вычисления на некоторые удаленные компьютеры, связанные с пользовательским ком- 
пьютером через сеть. Это облако может принадлежать как коммерческому провайдеру, так 
и самому предприятию, но его организация скрыта от пользователя. При этом пользователь 
не заботится о том, на каком именно компьютере он должен запустить свою программу, 
достаточно ли у компьютера ресурсов для качественного выполнения программы в данный 
момент, достаточна ли пропускная способность сети для быстрого получения реакции про- 
граммы на своем мониторе, — он просто запускает программу, а затем работает с ней, как 
если бы работал с ней локально. Результаты также можно хранить в облаке, это надежнее, 
так как провайдер облачных вычислений заботится об их сохранности. 
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ПРИМЕЧАНИЕ 


Сама по себе интерпретация сети как облака не нова, эту метафору применяли всегда, подчеркивая 
тот факт, что внутренняя организация сети не важна для конечных пользователей — для них важен 
тот факт, что сеть может передавать данные между двумя компьютерами. Такое облако можно назвать 
«транспортным». Облачные сервисы имеют дело с «вычислительным» облаком, то есть облаком, 
ориентированным на вычисления. 


Облачные вычисления являются сравнительно новым видом услуг, но по прогнозам 
специалистов они станут значительной вехой в процессе эволюции компьютерных сетей. 
Можно сказать, что с появлением этих услуг эволюция компьютерных сетей завершила 
виток, вернувшись к первоначальной модели, когда сеть соединяла Терминал пользователя 
с мейнфреймом, на котором пользователь запускал свою программу. Это действительно 
так, но, как и всегда, виток эволюции привел к появлению нового качества, так как теперь 
«тупые» терминалы превратились в мощные компьютеры, перепоручающие облачным 
серверам выполнение только некоторых, возможно критичных, программ, оставляя воз- 
можность работать с остальными программами локально. 


Облачные сервисы 


Электрические сети 


Рис. 18.8. Стратегическое значение облачных вычислений 


Хорошую аналогию, поясняющую значение облачных вычислений для развития общества, 
дал Николас Карр в своей книге ТВе Вір Ѕуісһ!. Он сравнил появление облачных вычисле- 
ний в информационном веке с электрификацией в индустриальном веке. До электрификации 
страны каждая организация, каждый производитель и каждый домовладелец должны были 
сами заботиться о выработке энергии — для этого существовали водяные колеса, ветряные 
мельницы, паровые машины. С распространением электрификации исчезла необходимость 


І Бир: //муу.аталоп.со.ик/Те-Вір-Ѕуіїсһ-Кемігіпе-Едіѕоп/1р/0393333949. 
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вырабатывать энергию самостоятельно — стало достаточным подключиться к электриче- 
ской сети. Карр считает, что облачные вычисления открывают новую эру в использовании 
компьютеров. Сейчас организации обеспечивают себя компьютерными ресурсами самосто- 
ятельно. В будущем предполагается, что организация будет просто подключаться к облаку 
и получать вычислительные ресурсы, которые ей нужны. И если нужно быстро увеличить 
вычислительную мощность или объем хранимых данных, то облако легко предоставит допол- 
нительные ресурсы своему клиенту точно так же, как электрическая сеть легко справляется 
с дополнительной нагрузкой, когда вы включаете микроволновую печь или электрическую 
дрель в дополнение к работающему телевизору и настольной лампе (рис. 18.8). 


Определение облачных вычислений 


Существуют различные определения облачных вычислений. Приведем определение орга- 
низации МТ, активно участвующей в разработке этого нового вида услуг: 


Облачные вычисления — это модель, предоставляющая удобный доступ по требованию 
к разделяемому пулу конфигурируемых вычислительных ресурсов, которые могут быть 
быстро выделены пользователю и отданы обратно в пул с минимальными затратами 
на управление этим процессом или с минимальным взаимодействием с провайдером 
услуг". 


С этим определением связаны следующие свойства облачных вычислений: 


Ч Качественно новый уровень разделения ресурсов. В отличие от прежних моделей вы- 
числений, в которых вычислительные ресурсы принадлежали одному владельцу (ре- 
сурсы корпоративной сети, хотя и разделяются между пользователями, принадлежат 
одной и той же организации-владельцу), облачные вычисления основаны на модели, 
где вычислительные ресурсы разделяются между многими арендаторами-клиентами 
и владельцем-провайдером на всех уровнях — уровне сети, хоста и приложений. 


О Высокая степень масштабируемости. Хотя отдельная организация может владеть 
сотнями или даже несколькими тысячами серверов, облачная среда позволяет масшта- 
бировать вычислительную мощность до десятков тысяч серверов, в разы наращивая 
пропускную способность каналов доступа и объем хранилища данных. Для обеспечения 
такой масштабируемости провайдер создает большое количество центров данных, рас- 
пределенных географически. 


С Эластичность. Пользователи могут быстро наращивать и уменьшать вычислительные 
ресурсы по мере необходимости. Таким свойством обычная корпоративная информа- 
ционная система не обладает. 


О Гибкость оплаты использованных ресурсов. Пользователи платят только за те ресурсы, 
которые они действительно задействовали, и за тот период времени, в течение которого 
эти ресурсы использовались. 


О Самостоятельное выделение ресурсов. Пользователи могут управлять выделением не- 
обходимых им ресурсов самостоятельно через удобный интерфейс, предоставляемый 
провайдером. Скорее всего, эти операции будут выполнять сотрудники ИТ-отдела 
предприятия, а не рядовые пользователи. 


1 Тһе МГ5Т Оећпібіоп оЁ СІоџа Сотриипе, Зреса| РиЬісайог 800-145, МІТ, Аиёиз 2011. 
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Облачные вычисления появились как результат развития технологий, применяющихся 
в коммерческих центрах данных при оказании разнообразных услуг хостинга. В конце 
концов сетевое сообщество осознало, что концепция использования компьютерной сети 
стала меняться — вместо гибкого соединения жестко заданных пользователем узлов (как 
правило, клиентского компьютера и сервера) теперь происходит гибкое соединение кли- 
ентского компьютера с гибко настраиваемым пулом вычислительных ресурсов. При этом 
пул ресурсов может быть рассредоточен по различным центрам данных, находящимся 
в разных городах и, возможно, странах. Важно понимать, что облачные вычисления — не 
столько новая технология, сколько комбинация уже существовавших ранее технологий. Эти 
технологии-компоненты развивались различными темпами и в разных условиях, причем 
изначально они не создавались для работы как единое целое. Но их смогли «притереть» 
друг к другу и создать новое качество — облачные среды. Новые достижения в области 
процессоров, технологий виртуализации, системах дисковой памяти, широкополосном 
доступе в Интернет, быстрые и недорогие серверы внесли свой вклад в превращение об- 
лачных вычислений в очень привлекательную модель. 


Основополагающей технологической платформой, на которой базируются облачные 
вычисления, является виртуализация. Термин «виртуализация» относится к абстра- 
гированию компьютерных ресурсов (процессора, памяти, дисковой памяти, сети, стека 
протоколов и баз данных) от прикладных программ и конечных пользователей облачного 
сервиса. Технологии виртуализации позволяют многочисленным арендаторам облака 
видеть ресурсы облака как ресурсы, выделенные только для них. Виртуализация приме- 
няется и в центрах данных, принадлежащих предприятию, — она улучшает использование 
ресурсов и упрощает операционную эффективность ИТ-отдела. Технологии виртуализа- 
ции применимы к ресурсам разного вида: компьютеру и ОС, хранилищам данных и базам 
данных, приложениям и сетям (УГАМ, МРІЅ УРМ 2-го и З-го уровня и др.). 


Операторы облачных сервисов применяют различные технологии виртуализации и про- 
граммирования сетей своих центров данных, в том числе технологии 5ОМ и МЕУ, рас- 
смотренные в главе 16. Существует большое количество программных систем, помога- 
ющих оператору облачных сервисов автоматизировать процесс создания услуг для его 
многочисленных пользователей. Одной из таких систем является Ореп$ќаск — свободно 
распространяемая программная среда с открытым исходным кодом для виртуализации 
физических ресурсов трех типов: вычислительных, хранения данных и сетевых. 


Модели сервисов облачных сервисов 


По способу реализации облачные среды делятся на публичные, частные и гибридные. 


О Публичные облака создаются провайдерами услуг, и их сервисы предоставляются пред- 
приятиям или частным лицам как публичным клиентам. 


О Частные облака создаются некоторыми предприятиями для использования только 
сотрудниками этих предприятий, то есть как часть корпоративной сети предприятий. 


О Гибридные облака — это комбинация публичных и частных облаков, которыми пользу- 
ется некое предприятие. 


Далее рассматриваются три основные модели сервисов, реализуемых в публичных облач- 
ных средах и предоставляемых провайдерами облачных вычислений. 
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1. Приложения как сервис (Ѕоќуаге-Аѕ-а-Ѕегуісе, Ѕаа$). Традиционный метод покупки 
программного обеспечения заключается в загрузке программы в собственный компьютер 
после оплаты лицензии на применение этой программы (капитальные затраты). Пользова- 
тель может купить и контракт на обслуживание, чтобы получать «заплатки» и обновления 
программы. Таким образом, пользователь сам заботится о совместимости программы с ОС, 
установке обновлений и удовлетворении условий лицензии. 


В модели ЅааЅ пользователь не покупает программное обеспечение, а арендует его для 
работы на условиях подписки или оплаты за использование. То есть вместо капитальных 
затрат пользователь несет текущие (операционные) расходы. В некоторых случаях при 
ограниченном применении сервиса (например, программа выполняется не более часа 
в сутки) сервис может быть бесплатным. 


Нужно подчеркнуть, что модель приложения как сервиса отличается от услуг хостинга 
приложений в двух существенных аспектах. Во-первых, в модели Ѕааѕ приложение исполь- 
зуется в режиме разделения времени всеми арендаторами (то есть различными организаци- 
ями), которые подписались на доступ к данному приложению, в то время как приложение 
хостинга выделяется в единоличное пользование организации-клиенту (хотя и разделяется 
между сотрудниками этой организации). Во-вторых, программы для хостинга приложений 
часто пишутся без учета работы через сеть, в то время как программы модели Ѕаа$ всегда 
оптимизированы для сетевого доступа. Примером Ѕаа$-сервисов являются сервисы Соое 
Аррѕ, МисгозоЁ ов се 365, Арр!е іМ№огк. 


2. Платформа как сервис (РІаќогт-А$-а-Ѕегуісе, Раа$). В этой модели провайдер предо- 
ставляет среду для разработчиков программного обеспечения, как правило, в нее входят 
набор средств разработчика ($0К) и стандарты разработки программ, каналы распростра- 
нения программ и механизмы оплаты. Этот сервис направлен на поддержку быстрой раз- 
работки приложений с низким уровнем начальных вложений и применением устоявшихся 
каналов для быстрого нахождения пользователей новых программ. Пример этого типа 
облачных сервисов — МісгоѕоЁ Алиге. 


3. Инфраструктура как сервис (Тће Іпітаѕігисіиге-Аѕ-а-Ѕегүісе, Іаа$). В традиционной 
модели хостинга провайдер предоставляет в распоряжение клиента выделенную инфра- 
структуру для того, чтобы клиент выполнял на ней свои приложения. Модель ІааЅ тоже 
обеспечивает клиента необходимой инфраструктурой для выполнения приложений, но эта 
инфраструктура не является выделенной, она динамически изменяется в зависимости от 
требований клиента и оплачивается по схеме «оплата за использование». С точки зрения 
провайдера такая модель может быть реализована на инфраструктуре, способной гибко 
реагировать на пики и спады требований каждого клиента. Клиент платит за количество 
потребленных процессорных циклов, оперативной и дисковой памяти, объем сетевого 
трафика, но не заботится о физической природе ресурсов — делении диска на разделы, 
способе увеличения объема памяти, резервировании ресурсов, резервном копировании дан- 
ных. Провайдер имеет полный контроль над ресурсами инфраструктуры. Клиент, в свою 
очередь, имеет контроль над тем, какие операционные системы работают на виртуальных 
машинах инфраструктуры и какие приложения работают под управлением этих ОС. При- 
мером этого типа облачных сервисов является Атағоп Мер Ѕегуісеѕ. В зависимости от вы- 
бранной модели облачных сервисов провайдер и клиент имеют различные зоны контроля 
над компонентами облачных вычислений (рис. 18.9). Для каждой модели показано рас- 
пределение зон управления и ответственности между провайдером и клиентом для пяти 
основных компонентов программно-аппаратного комплекса ИС: 
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сетевой инфраструктуры (маршрутизаторы, коммутаторы, линии связи); 
хранилища данных; 
серверов: 


виртуальной машины с операционной системой; 


ооооро 


приложений. 


система 
Приложения 
УМ/ОС 


Приложения 


Сервисы 


Сервер 


Сеть 


Хранилище Хранилище 


Сеть Сеть 


Организация 
имеет 
контроль 


Провайдер 
имеет контроль 


Рис. 18.9. Распределение контроля и ответственности между провайдером и клиентом 
в разных моделях облачных сервисов 


Как видно из рисунка, модель Ѕааѕ является крайним случаем, когда провайдер имеет 
полный контроль над всеми компонентами модели. При использовании услуг модели Гаа5 
клиент имеет контроль над приложениями, работающими в облаке, а провайдер — над 
тремя нижними слоями модели. Клиент и провайдер разделяют контроль над виртуаль- 
ной машиной и операционной системой, работающей в среде этой виртуальной машины. 
Модель Рааѕ занимает промежуточное положение: здесь провайдер и клиент разделяют 
контроль как над средствами виртуализации программного обеспечения (виртуальной 
машиной, ОС), так и над самими прикладными программами, поскольку хотя они и раз- 
рабатываются специалистами предприятия-клиента, в них работают программные модули 
провайдера, собранные в единую программу по методике провайдера. 


ПРИМЕЧАНИЕ 


Все три рассмотренные модели облачного сервиса являются развитием популярных моделей хостинга: 
хостинг аппаратных серверов, хостинг программных веб-серверов и хостинг приложений. 


ГЛАВА 19 Транспортные технологии 
глобальных сетей 


Технологии виртуальных каналов — 
от Х.25 к МРІЅ 


Сегодня все глобальные компьютерные сети объединяют Интернет и протокол ІР. В гло- 
бальных сетях протокол ІР работает поверх специфических технологий канального уровня, 
разработанных с учетом характеристик глобальных линий связи и транспортных услуг, 
предоставляемых этим видом сетей. 


На протяжении всего времени существования глобальных компьютерных сетей важную 
роль в них играли транспортные технологии, основанные на технике виртуальных каналов. 
Рассмотрим, как происходила эволюция технологий этого типа, от Х.25 через тате ге|ау 
и АТМ к МРІ5 — технологии, объединившей технику виртуальных каналов с протоколами 
управляющего слоя стека ТСР/ІР. 


Принципы работы виртуального канала 


В этом разделе мы дополним! ваши знания о принципах работы виртуального канала. 
В сети с виртуальными каналами два узла могут начать обмен данными только после 
того, как между ними будет установлено логическое соединение — виртуальный канал. 
Виртуальный канал лучше защищает пользователей от внешних атак, поскольку у зло- 
умышленника нет возможности посылать пакеты данных от одного произвольного узла 
к другому, что вполне можно сделать в сети, построенной на транспортной технологии 
дейтаграммного типа: ІР или Ефегпе. Продвижение кадров вдоль виртуального канала 
происходит не на основе адресов конечных узлов, а на основе метки, позволяющей ком- 
мутаторам сети определять принадлежность кадров тому или иному виртуальному каналу 
и продвигать их соответственно. Значение метки потока изменяется в каждом коммутаторе 
при передаче кадра с входного интерфейса на выходной — в этом случае говорят, что проис- 
ходит коммутация по меткам. Коммутация по меткам позволяет избавиться от требования 
уникальности их значений в пределах сети, которую обеспечить сложно; чтобы кадры 
различных виртуальных каналов не смешивались, достаточно обеспечить уникальность 
значений меток только в пределах отдельного интерфейса. Из-за того что коммутация по 
меткам является неотъемлемым атрибутом технологий виртуальных каналов, у них есть 
и второе название — технологии коммутации по меткам. 


Технически установление виртуального канала означает формирование записей в таблицах 
продвижения кадров на каждом коммутаторе вдоль виртуального канала. Такая таблица 


1 См. главу З. 
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включает информацию о продвижении — на какой выходной порт нужно передать кадр 
с данной меткой, какое новое значение нужно присвоить метке после передачи кадра на 
выходной интерфейс. 


На рис. 19.1 показан фрагмент сети, состоящей из двух коммутаторов, 51 и $52, и четырех 


конечных узлов, С1-С4. Через эти коммутаторы проложено три виртуальных канала: 
С1-С2, С1-С4 и СЗ-С4. 


Таблица коммутации $2 
Входной| Входная | Выходной| Выходная 
Е ан ра метка 


шга 


ПОРА АМ 


тя 


тна разг 
101 


= 


Рис. 19.1. Продвижение кадров вдоль виртуальных каналов 


Эти каналы являются двунаправленными — кадры могут передаваться по ним в любом из 
двух направлений. Для каждого виртуального канала в таблице продвижения имеется две 
записи — по одной для каждого направления. Например, первая запись в таблице коммута- 
ции коммутатора 51 (запись 1-101-2-103) определяет работу коммутатора по продвижению 
кадров виртуального канала С1-С2 в направлении от С1 к С2; она предписывает комму- 
татору 51 передать кадр, принятый на порт 1 со значением метки 101, на порт 2, поменяв 
значение метки (скоммутировать метку) на 103. Третья запись (2-103-1-101) означает, что 
все пакеты, которые поступят на порт 2 со значением метки 102, будут продвигаться на 
порт 3, а ее значение поменяется на 101. 


Существуют также однонаправленные виртуальные каналы. В случае их использования 
для дуплексного обмена информацией нужно установить два независимых виртуальных 
канала между конечными узлами, по одному для каждого направления. Виртуальные 
каналы делятся на два класса: 


О коммутируемые виртуальные каналы (Ѕ\№ісһеа Уіг(иа Стсиц, $УС); 
О постоянные виртуальные каналы (Регтапеш Улгиа! Сігсиіё, РУС). 
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Создание коммутируемого виртуального канала происходит по инициативе конечного 
узла сети с помощью специального протокола, посылающего пакет с запросом на уста- 
новление соединения в направлении к узлу назначения виртуального канала. Название 
«коммутируемый» отражает тот факт, что канал создается динамически по требованию 
узла-отправителя аналогично установлению коммутируемого соединения в телефонной 
сети. Для поддержания режима УС в сети должны существовать таблицы маршрутизации, 
в соответствии с которыми продвигается пакет с запросом соединения. По отношению 
к пакету с запросом соединения сеть работает в дейтаграммном режиме, и такой пакет 
должен содержать адрес назначения конечного узла, а не метку. 


Постоянный виртуальный канал устанавливается вручную, администратор создает его 
на достаточно длительное время (отсюда название канала), возможно, с привлечением 
централизованной системы управления сетью. Пограничный коммутатор сети принимает 
пакеты от внешней сети, которая может и не поддерживать технику виртуальных каналов. 
Пограничный коммутатор должен каким-то образом отображать приходящие извне пакеты 
на один из виртуальных каналов сети. В простейшем случае такое отображение (тарріпр) 
выполняется на основе входного физического интерфейса, то есть все кадры, приходящие 
на некоторый входной интерфейс, отображаются на один и тот же виртуальный канал. 
В более сложных случаях необходимо различать несколько потоков, приходящих на 
входной интерфейс, и отображать их на разные виртуальные каналы. В таком случае в по- 
граничном коммутаторе наряду с таблицей продвижения должна существовать таблица 
отображения потоков. В примере рис. 19.1 такая таблица имеется у конечного узла С1. 
В ней в качестве признака потока используются [Р-адреса назначения, поэтому таблица 
отображения представляет собой АВР-таблицу. 


Виртуальные каналы обычно имеют двухточечную топологию. Но существуют каналы 
и с другим типом топологии — звезда (рис. 19.2). В таком канале один и тот же кадр пере- 
дается от источника — центра звезды, называемого также концентратором, — вдоль лучей 


виртуальный канал «точка-точка» 
Бе ео орг 3 виртуальный канал «звезда» 


Рис. 19.2. Топологии виртуальных каналов 
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всем конечным узлам. Конечные узлы не могут использовать виртуальный канал звездо- 
образной топологии для обмена кадрами между собой, который передает кадры в обрат- 
ном направлении только от конечного узла к центральному узлу. Виртуальные каналы со 
звездообразной топологией рассчитаны на эффективную поддержку группового вещания. 


Виртуальный канал является удобным инструментом для инжиниринга трафика. 


Это объясняется тем, что он может быть установлен независимо в каждом промежуточ- 
ном коммутаторе путем соответствующего назначения локальных меток, выполняемого 
администратором сети или внешней программной системой. Поток пакетов, который 
должен быть передан по виртуальному каналу, может быть определен гибко и с любой 
степенью детализации, в этом определении могут использоваться не только [Р-адреса 
назначения, как это происходит в [Р-сетях, но и любые признаки: [Р-адреса источника, 
ТСР/О,Р-порты назначения, поле ОЅСР ит. п., что также повышает эффективность 
инжиниринга трафика. 


Сети, работающие на основе техники виртуальных каналов, относятся к типу сетей, не 
поддерживающих широковещание с множественным доступом (М№оп Вгоайсаѕї Мире 
Ассеѕѕ, МВМА). Действительно, у такой сети существует произвольное количество конеч- 
ных узлов, но отсутствует возможность послать кадр сразу всем узлам — ни двухточечный, 
ни звездообразный виртуальный канал это не позволяет. В сетях МВМА протокол ІР не 
может воспользоваться услугами протокола АКР для автоматического построения АКР- 
таблицы — эти услуги основаны на широковещательных запросах. В тех случаях, когда 
входящий поток отображается на виртуальный канал на основе [Р-адреса, таблицу ото- 
бражения, которая является здесь АКР-таблицей, приходится строить вручную или же 
с помощью некоторого дополнительного протокола, не использующего широковещание. 


Эффективность виртуальных каналов 


Сравнение эффективности виртуальных каналов мы проведем отдельно для коммутиру- 
емых и постоянных виртуальных каналов, сравнивая первые с дейтаграммными техноло- 
гиями, а вторые — с выделенными физическими каналами. 


Применение коммутируемых виртуальных каналов требует предварительного установле- 
ния соединения, что вносит дополнительную задержку перед передачей данных по срав- 
нению с применением дейтаграммных протоколов. Эта задержка особенно сказывается 
при передаче небольшого объема данных, когда время установления виртуального канала 
может быть соизмеримым со временем передачи данных. Кроме того, дейтаграммный ме- 
тод быстрее адаптируется к изменениям в сети. При отказе коммутатора или линии связи 
вдоль виртуального канала соединение разрывается, после чего виртуальный канал нужно 
прокладывать заново, обходя отказавшие участки сети. 


Однако сравнивая эти два принципиально различных подхода, следует учесть, что время, 
затраченное на установление виртуального канала, компенсируется последующей быстрой 
передачей всего потока пакетов. Маршрутизация пакетов в сети с поддержкой виртуальных 
каналов ускоряется за счет двух факторов. Первый состоит в том, что решение о продвиже- 
нии пакета принимается быстрее, так как таблица коммутации, в которой есть информация 
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только об установленных виртуальных каналах, чаще всего существенно меньше таблицы 
маршрутизации, в которой число записей определяется количеством сетей назначения 
(размер таблицы маршрутизации магистральных [Р-маршрутизаторов провайдеров Ин- 
тернета составлял весной 2015 года около 550 000 записей). Вторым фактором является 
уменьшение доли служебной информации в пакетах. Адреса конечных узлов в глобальных 
сетях обычно имеют достаточно большую длину — 4 байта в версии [РуУ4, 16 байт в версии 
[Руб, МАС-адрес имеет длину 6 байт. Номер же виртуального канала обычно занимает 
10-12 бит, так что накладные расходы на адресную часть существенно сокращаются, а зна- 
чит, полезная скорость передачи данных возрастает. 


Постоянные виртуальные каналы являются гораздо более эффективными в отношении произво- 
дительности передачи данных, чем коммутируемые. Значительную часть работы по маршрути- 
зации пакетов сети выполняет администратор, вручную прокладывая постоянные виртуальные 
каналы и оставляя коммутаторам только продвижение пакетов на основе готовых таблиц ком- 
мутации портов. 


Постоянный виртуальный канал подобен выделенному физическому каналу в том смысле, 
что для каждой операции обмена данными не требуется заново устанавливать или разры- 
вать соединение. Отличие — в том, что пользователь РУС не имеет гарантий относительно 
действительной пропускной способности канала. Зато применение РУС обычно намного 
дешевле, чем аренда выделенной линии, так как пользователь делит пропускную способ- 
ность сети с другими пользователями. 


Постоянные виртуальные каналы выгодно использовать для передачи агрегированных по- 
токов трафика, состоящих из большого количества индивидуальных потоков абонентов 
сети. В этом случае виртуальный канал прокладывается не между конечными абонентами, 
а между участком магистрали сети, на котором данный агрегированный поток существует, 
например от одного пограничного маршрутизатора сети оператора связи до другого. В силу 
закона больших чисел агрегированные потоки обладают высокой степенью устойчивости, 
так что для них нет смысла динамически создавать коммутируемые виртуальные кана- 
лы — лучше эффективно использовать постоянные, которые при хорошем планировании 
(методами инжиниринга трафика) оказываются достаточно загруженными. 


Подводя итог, можно сказать, что виртуальные каналы более эффективны при передаче 
долговременных, чем кратковременных потоков, так как в этом случае снижаются удельные 
затраты на установление соединений. 


Технология Х.25 


Технология виртуальных каналов Х.25 появилась на заре эры компьютерных сетей, прак- 
тически одновременно с сетью АКРАМЕТ, давшей начало Интернету и дейтаграммному 
протоколу [Р. Долгое время, до середины 80-х, Х.25 была основной технологией для по- 
строения как сетей операторов связи, так и корпоративных сетей. 


Технология Х.25 оказалась хорошо приспособленной для построения глобальной все- 
мирной сети благодаря тому, что была масштабируемой — в ней был определен протокол 
межсетевого взаимодействия, позволяющий объединять сети разных провайдеров, а также 
поддерживалась международная система иерархической адресации Х.121, включающая 
код страны, номер сети и номер терминала в сети. 
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Сети Х.25 используют трехуровневый стек протоколов. Физический уровень в то время 
чаще всего был представлен модемами, работающими на коммутируемых и выделенных 
телефонных линиях со скоростями 2400—9600 Кбит/с. Как на канальном (Г.АР-В), так и на 
сетевом (Х.25/3) уровнях протоколы стека Х.25 поддерживают установление соединений 
и коррекцию ошибок на основе метода скользящего окна. Такая избыточность функций, 
направленных на обеспечение надежности передачи данных, объясняется ориентацией 
технологии на ненадежные аналоговые каналы. Распространение высокоскоростных 
и надежных цифровых оптических каналов в середине 80-х привело к тому, что функции 
технологии Х.25 по обеспечению надежной передачи данных превратились из достоинства 
технологии в ее недостаток, так как лишь замедляли скорость передачи пользовательских 
данных. Результатом этой революции стало появление принципиально новой технологии 
глобальных сетей, а именно Егате Ке]ау. 


Технология Егате Веау 


Главным достоинством Егате Кеау является простота; освободившись от многих не- 
нужных в условиях существования надежных оптических каналов связи функций, эта 
технология предлагает только тот минимум услуг, который необходим для быстрой до- 
ставки кадров адресату. В соответствии с этой концепцией протокол Егате Ке]ау работает 
в режиме передачи данных по «возможности», то есть не поддерживает процедуры надеж- 
ной передачи кадров, оставляя повторную передачу искаженных и потерянных данных 
протоколам более высоких уровней, например ТСР. В сетях Егате Кейау имеются только 
постоянные виртуальные каналы, что также упрощает их организацию. 


Разработчики технологии Егате Неау сделали важный шаг вперед, предоставив пользователям 
сети гарантию пропускной способности сетевых соединений — свойство, которое до появления 
Егате Ве!ау не поддерживалось ни одной технологией глобальных сетей с коммутацией пакетов. 


Для каждого виртуального соединения в технологии Егате Ке|ау определяется несколько 
параметров, связанных со скоростью передачи данных. 


О Согласованная скорость передачи данных (Сошт!(е шЮгтайоп Кайе, СІК) — га- 
рантированная пропускная способность соединения; фактически сеть гарантирует 
передачу данных пользователя со скоростью предложенной нагрузки, если эта скорость 
не превосходит СІК. 


0 Согласованная величина пульсации (Соттіќеа Вигѕѓ 5іхе, Вс) — максимальное ко- 
личество байтов, которое сеть будет передавать от данного пользователя за интервал 
времени Т, называемый временем пульсации, соблюдая согласованную скорость СІК. 


Ц Дополнительная величина пульсации (Ехсеѕѕ Вигѕі 517е, Ве) — максимальное количе- 
ство байтов, которое сеть будет пытаться передать сверх установленного значения Вс 
за интервал времени Т. 


Второй параметр пульсации (Ве) позволяет оператору сети дифференцированно обраба- 
тывать кадры, которые не укладываются в профиль СІК. Обычно кадры, которые приводят 
к превышению пульсации Вс, но не превышают пульсации Вс + Ве, сетью не отбрасывают- 
ся, аобслуживаются, но без гарантий по скорости СІК. Для запоминания факта нарушения 
в кадрах Егате Кеа!у имеется специальное поле ОЕ (Ріѕсага Еһеі1у — возможность 
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отбрасывания). В том случае, когда это поле кадра содержит значение 1, последующие 
коммутаторы данного виртуального канала отбрасывают такой кадр, если испытывают 
перегрузку. 

При превышении порога Вс + Ве кадры отбрасываются сразу. Если приведенные величины 
определены, то время Т определяется следующей формулой: 


Т = Вс/СТВ. 


Можно рассматривать значения СІК и Т в качестве варьируемых параметров — тогда про- 
изводной величиной станет пульсация Вс. Обычно для контроля пульсаций трафика вы- 
бирается время Т, равное 1-2 секундам при передаче компьютерных данных и в диапазоне 
десятков-сотен миллисекунд при передаче голоса. 


ты +5 (кадр отброшен) 


Вс + Ве 


Вс 


1, (ОЕ = 0) 


Рис. 19.3. Реакция сети на поведение пользователя 


Соотношение между параметрами СТК, Вс, Ве и Т иллюстрирует рис. 19.3 (К — скорость 
в канале доступа; 1—6 — кадры). 


Работа сети описывается двумя линейными функциями, показывающими зависимость 
количества переданных битов от времени: В = К х%и В = СІК х ё. Средняя скорость посту- 
пления данных в сеть составила на этом интервале К бит/с, и она оказалась выше СІК. На 
рисунке представлен случай, когда за интервал времени Т в сеть по виртуальному каналу 
поступило 5 кадров. Кадры Ё, Ь и б доставили в сеть данные, суммарный объем которых 
не превысил порог Вс, поэтому эти кадры ушли дальше транзитом с признаком РЕ = 0. 
Данные кадра Ё, прибавленные к данным кадров &,, Ь и Б, уже превысили порог Вс, но еще 
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не достигли порога Вс + Ве, поэтому и кадр № ушел дальше, но уже с признаком ПЕ = 1 
(возможно, его удалят последующие коммутаторы). Данные кадра Ё;, прибавленные к дан- 
ным предыдущих кадров, превысили порог Вс + Ве, поэтому этот кадр был удален из сети. 


На рис. 19.4 приведен пример сети Егате Кеау с пятью удаленными региональными от- 
делениями корпорации. Обычно доступ к сети осуществляется по каналам с пропускной 
способностью большей, чем СТК. Однако при этом пользователь платит не за пропуск- 
ную способность канала, а за заказанные величины СІК, Вс и Ве. Так, при применении 
в качестве линии доступа канала Т-1 и заказа обслуживания со скоростью СІК, равной 
128 Кбит/с, пользователь будет платить только за скорость 128 Кбит/с, а скорость канала 
Т-1в 1,5 Мбит/с окажет влияние на верхнюю границу возможной пульсации Вс + Ве. 


СІК = 256 Кбит/с 
В. = 512 Кбит 
В. = 128 Кбит 


СК = 128 Кбит/с 
В. = 256 Кбит 
В, = 64 Кбит 


СІК = 512 Кбит/с 
г. В. = 128 Кбит 
А В. = 64 Кбит 


--- 
ря 
--- 


= 
- 
– 
а: 
- 
---- 


Рис. 19.4. Пример обслуживания в сети Егате Ве|ау 


Параметры качества обслуживания могут быть разными для разных направлений вирту- 
ального канала. Так, на рисунке абонент 1 соединен с абонентом 2 виртуальным каналом 
с меткой 136. При направлении от абонента 1 к абоненту 2 канал имеет среднюю скорость 
128 Кбит/с с пульсациями Вс = 256 Кбит (интервал Т составил 1 с) и Ве = 64 Кбит. А при 
передаче кадров в обратном направлении средняя скорость уже может достигать значения 
256 Кбит/с с пульсациями Вс = 512 Кбит и Ве = 128 Кбит. 


Сети Егате Ке|ау получили большое распространение в 80-е и в первой половине 90-х. 
Их услуги с предоставлением гарантий пропускной способности являлись в то время наи- 
более качественными услугами УРМ, и многие корпоративные сети их использовали. Но 
постепенно скорость доступа 2 Мбит/с, которую предоставляли эти сети, становилась явно 
недостаточной для корпоративных пользователей. К тому же мультимедийный трафик 
начал все больше интересовать как пользователей, так и провайдеров Интернета, а сети 
Егате Кеау были рассчитаны только на передачу компьютерного трафика. В результате 
в начале 90-х началась разработка новой технологии глобальных сетей, получившей на- 
звание асинхронного режима передачи. 


($) Технология Егате Ке!ау 
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Технология АТМ 


Асинхронный режим передачи (Аѕупсһгопоиѕ Тгапѕѓег Мо4е, АТМ) — это технология, 
основанная на технике виртуальных каналов и предназначенная для использования в ка- 
честве единого универсального транспорта сетей с интегрированным обслуживанием. На- 
звание технологии отражает тот факт, что в ней применяется метод коммутации пакетов, 
который, как известно, основан на асинхронном временном мультиплексировании данных, 
в отличие от синхронного временного мультиплексирования, на котором построены многие 
технологии коммутации каналов. 


Под интегрированным обслуживанием здесь понимается способность сети передавать 
трафик разного типа: чувствительный к задержкам (например, голосовой) и эластичный, 
то есть допускающий задержки в широких пределах (например, трафик электронной 
почты или просмотра веб-страниц). Этим технология АТМ приниипиально отличается 
от технологии Егаше Ке[ау, которая изначально предназначалась только для передачи 
эластичного компьютерного трафика. Кроме того, в цели разработчиков технологии АТМ 
входило обеспечение многоуровневой иерархии скоростей и возможности использования 
первичных сетей 5ОН для соединения коммутаторов АТМ. 


В технологии АТМ для переноса данных применяются ячейки. Принципиально ячейка отличается 
от кадра только тем, что имеет, во-первых, фиксированный, во-вторых, небольшой размер. 


Длина ячейки составляет 53 байта, а поля данных — 48 байт. Именно такие размеры по- 
зволяют сети АТМ передавать чувствительный к задержкам аудио- и видеотрафик с необ- 
ходимым уровнем качества. Размер ячейки снижает две составляющие задержки: задержку 
пакетизации и время нахождения ячейки в очереди. 


Задержка пакетизации связана с процессом оцифровывания аналоговой (например, го- 
лосовой) информации и помещения ее в пакет компьютерной сети. Эту операцию должны 
выполнять интерфейсные модули коммутаторов АТМ, к которым подключены в качестве 
абонентских устройств обычные аналоговые телефоны. 


Задержка пакетизации зависит (рис. 19.5) только от размера пакета, так как кодек — 
устройство, которое выполняет оцифровывание голоса, — работает с постоянной часто- 
той 8 кГц, требуемой для качественного представления голоса в цифровой форме (см. 
раздел «Кодирование аналоговой информации дискретными сигналами» главы 7). На 
рисунке показан голосовой кодек — устройство, которое представляет голос в цифро- 
вой форме. Пусть он выполняет замеры голоса в соответствии со стандартной частотой 
8 кГц (то есть через каждые 125 мкс), кодируя каждый замер одним байтом данных. 
Если мы используем для передачи голоса кадры Е\Вегпе{ максимального размера, то 
в один кадр поместится 1500 замеров голоса. В результате первый замер, помещен- 
ный в кадр Ећегпеё, вынужден будет ждать отправки кадра в сеть (1500 - 1) х 125 = 
= 187 375 мкс, или около 187 мс. Это весьма большая задержка для голосового трафика. 
Рекомендации стандартов говорят о величине 150 мс как о максимально допустимой сум- 
марной задержке голоса, в которую задержка пакетизации входит как одно из слагаемых. 


ВНИМАНИЕ 


Задержка Пакетизации не зависит от битовой скорости протокола, а зависит только от быстродействия 
кодека и размера поля данных кадра. 


612 Часть М Глобальные компьютерные сети 


т — интервал между замерами голоса 


А) Голос 64 ==> 


Задержка 
пакетизации = №хт 


Рис. 19.5. Задержка пакетизации 


Время ожидания кадра в очереди можно сократить, обслуживая кадры чувствительного 
к задержкам трафика в приоритетной очереди. Однако если размер кадра может меняться 
в широком диапазоне, то даже при назначении таким кадрам высшего приоритета время 
ожидания пакета с замерами голоса в коммутаторе может все равно оказаться недопустимо 
высоким. Например, пусть пакет с данными в 4500 байт начал передаваться в выходной 
порт, когда очередь приоритетных голосовых пакетов была пуста. Если скорость интер- 
фейса равна 2 Мбит/с, то время передачи этого пакета займет 18 мс — (4500 х 8)/2 х 106 = 
= 0,018. В худшем случае сразу же после начала передачи пакета данных в коммутатор 
может поступить пакет с замерами голоса. Прерывать передачу пакета в сетях нецелесо- 
образно, так как при распределенном характере сети накладные расходы на оповещение 
соседнего коммутатора о прерывании пакета, а потом — о возобновлении передачи пакета 
с прерванного места оказываются слишком большими. Поэтому голосовой пакет будет 
ждать в очереди 18 мс, пока не завершится передача на линию связи пакета данных, что 
приведет к значительному снижению качества воспроизведения голоса на приемном кон- 
це. Для поддержания требуемого качества обслуживания и рационального расходования 
ресурсов в технологии АТМ определено 5 категорий услуг, которые предназначены для 
обслуживания различных классов трафика. Классы трафика различаются в зависимости 
от следующих критериев: 


Ш является ли скорость трафика постоянной (как у голосового трафика) или переменной 
(как у трафика данных); 

О является ли трафик чувствительным к задержкам; 

О нужны ли гарантии средней скорости передачи. 


Из возможных сочетаний этих свойств трафика (не все сочетания имеют смысл; например, 
трафик с постоянной скоростью не может не требовать гарантий средней скорости) были 
отобраны пять, и для них созданы отдельные категории услуг. 


Очевидно, что сети АТМ отличаются от сетей Егате Ке|ау большей степенью соответствия 
услуг требованиям трафика определенного типа, так как в сетях АТМ нужный уровень 
обслуживания задается не только численными значениями параметров, гарантирующих 
среднюю скорость передачи данных, но и самой категорией услуги. Наличие отдельных 
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категорий услуг для наиболее важных классов трафика, таких как чувствительный к за- 
держкам голосовой трафик с постоянной битовой скоростью и чувствительный к задерж- 
кам компрессированный видеотрафик с переменной битовой скоростью, сделало АТМ 
гораздо более эффективной технологией мультисервисных сетей, чем технология Егате 
Кејау, которая могла эффективно передавать только нечувствительный к задержкам трафик 
данных с переменной битовой скоростью. 


Технология АТМ пережила пик своей популярности во второй половине 90-х, но к насто- 
ящему времени она совсем ушла со сцены. Существует несколько причин отказа от такой, 
казалось бы, хорошо подходящей для оказания мультисервисных услуг технологии. Одна 
из них — появление сетей О\/ЮМ и рост скорости сетей Е(ћегпеќ до 1 Гбит/с, а затем и до 
10 Гбит/с. Относительно дешевая пропускная способность простой сети Ефегпей победила — 
операторам сетей оказалось гораздо проще предоставлять качественные мультимедийные 
услуги с помощью недогруженной «простой» сети ГР/ЕФегпе®, чем управлять сложной в на- 
стройке и эксплуатации сетью ІР/АТМ. Кроме того, оборудование АТМ не смогло перейти 
порог скорости 622 Мбит/с. Ограничением стал маленький размер ячеек — на высоких ско- 
ростях коммутаторы с трудом справляются с обработкой интенсивных потоков таких ячеек. 


($) Технология АТМ 


Технологии двухточечных каналов 


В тех случаях, когда ІР-маршрутизаторы непосредственно соединены линиями связи фи- 
зического уровня (кабелями или каналами таких технологий первичных сетей, как РОН, 
ЗОН или ОТ№), функции протокола канального уровня сокращаются по сравнению со слу- 
чаем, когда на канальном уровне имеется сеть с коммутацией пакетов, например Еегпе 
или МРІ.5. Для подобных случаев разработаны специальные протоколы канального уровня 
с упрощенной функциональностью, которые принято называть двухточечными или про- 
токолами «точка-точка», что отражает топологию связей между маршрутизаторами. 


Протокол НОС 


Протокол НОЕС (Нідћ-Іехеі Оаїа ипк Сопїго! — высокоуровневое управление линией связи) пред- 
ставляет целое семейство протоколов, реализующих функции канального уровня. 


Важным свойством НОГС является его функциональное разнообразие. Он может работать 
в нескольких весьма отличающихся друг от друга режимах, поддерживает не только двух- 
точечные соединения, но и соединения с одним источником и несколькими приемниками 
и, кроме того, предусматривает различные функциональные роли взаимодействующих 
станций. Сложность НОТС объясняется тем, что это очень «старый» протокол, разрабо- 
танный еще в 70-е годы для ненадежных каналов связи. Поэтому в одном из режимов про- 
токол НОГС, подобно протоколу ТСР поддерживает процедуру установления логического 
соединения и процедуры контроля передачи кадров, а также восстанавливает утерянные 
или поврежденные кадры. Существует и дейтаграммный режим работы НОГС, в котором 
логическое соединение не устанавливается и кадры не восстанавливаются. 
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В ІР-маршрутизаторах чаще всего используется версия протокола НОГС, разработанная 
компанией С15со. Хотя эта версия является фирменным протоколом, де-факто она стала 
стандартом для ІР-маршрутизаторов большинства производителей. Версия С15со НОГС 
работает только в дейтаграммном режиме, что соответствует современной ситуации 
с незашумленными надежными каналами связи. По сравнению со стандартным про- 
токолом версия С15со НОІС включает ряд расширений, главное из которых — много- 
протокольная поддержка. Это означает, что в заголовок кадра С15со НОГС добавлено 
поле типа протокола, подобное полю ЕћегТуре в кадре Е\Бегпе и содержащее код 
протокола, данные которого переносит кадр С15со НОГ.С. В стандартной версии НОГС 
такое поле отсутствует. 


Протокол РРР 


Протокол РРР (Роіпі-со-Роіпі Ргоѓосо! — протокол двухточечной связи) является стан- 
дартным протоколом Интернета. Протокол РРР, как и НОГС, представляет собой целое 
семейство протоколов, в которое, в частности, входят: 


О протокол управления линией связи (лок Сопёго| РгоќосоЇ, [СР); 

протокол управления сетью (МегмогКк Сопёго| Ргоѓосо], МСР); 
многоканальный протокол РРР (Миа Глок РРР, МЕРРР); 

протокол аутентификации по паролю (Раѕѕуога Ашфеписайоп РгоѓосоЇ, РАР); 


в. Е... 8 


протокол аутентификации по квитированию вызова (СһаПепре Напаз$раке 
Аи еписайоп Ргоќосо!, СНАР). 


Особенностью протокола РРР отличающей его от других протоколов канального уровня, является 
сложная переговорная процедура принятия параметров соединения. Стороны обмениваются 
различными параметрами: качество линии, размер кадров, тип протокола аутентификации и тип 
инкапсулируемых протоколов сетевого уровня. 


В корпоративной сети конечные системы часто отличаются размерами буферов для вре- 
менного хранения пакетов, ограничениями на размер пакета, списком поддерживаемых 
протоколов сетевого уровня. Физическая линия, связывающая конечные устройства, может 
варьироваться от низкоскоростной аналоговой до высокоскоростной цифровой линии 
с различными уровнями качества обслуживания. Протокол, в соответствии с которым 
принимаются параметры соединения, называется протоколом управления линией связи 
(ГСР). Чтобы справиться со всеми возможными ситуациями, в протоколе РРР имеется 
набор стандартных параметров, действующих по умолчанию и учитывающих все стан- 
дартные конфигурации. При установлении соединения два взаимодействующих устрой- 
ства для нахождения взаимопонимания пытаются сначала использовать эти параметры. 
Каждый конечный узел описывает свои возможности и требования. Затем на основании 
этой информации принимаются параметры соединения, устраивающие обе стороны. Но 
переговорная процедура протоколов может и не завершиться соглашением о каком-нибудь 
параметре. Если, например, один узел предлагает в качестве МТО значение 1000 байт, 
а другой отвергает это предложение и, в свою очередь, предлагает значение 1500 байт, 
которое отвергается первым узлом, то по истечении тайм-аута переговорная процедура 
может закончиться безрезультатно. 
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Одним из важных параметров соединения РРР является режим аутентификации. Для 
целей аутентификации РРР предлагает по умолчанию протокол аутентификации по 
паролю (РАР), передающий пароль по линии связи в открытом виде, или протокол аутен- 
тификации по квитированию вызова! (СНАР), не передающий пароль по линии связи 
и поэтому обеспечивающий более высокий уровень безопасности сети. Пользователям 
также разрешается добавлять новые алгоритмы аутентификации. Кроме того, пользователи 
могут влиять на выбор алгоритмов сжатия заголовка и данных. 


Многопротокольная поддержка — способность протокола РРР поддерживать несколько 
протоколов сетевого уровня — обусловила распространение РРР как стандарта де-факто. 
Внутри одного соединения РРР могут передаваться потоки данных различных сетевых 
протоколов, включая ІР, Мохе] ІРХ и многих других, сегодня уже не употребляющихся, 
а также данные протоколов канального уровня локальной сети. Каждый протокол сетевого 
уровня конфигурируется отдельно с помощью соответствующего иротокола управления се- 
тью (МСР). Под конфигурированием понимается, во-первых, констатация того факта, что 
данный протокол будет использоваться в текущем сеансе РРР а во-вторых, переговорное 
согласование некоторых параметров протокола. Больше всего параметров устанавливается 
для протокола ІР, включая [Р-адреса взаимодействующих узлов, [Р-адреса ОМ№5-серверов, 
признак компрессии заголовка [Р-пакета и т. д. Для каждого протокола, предназначенного 
для конфигурирования протокола верхнего уровня, помимо общего названия МСР упо- 
требляется особое название, построенное путем добавления аббревиатуры СР (Сопёго]| 
Ргоѓосо! — протокол управления) к имени конфигурируемого протокола. Например, для 
ІР — это протокол ІРСР, для ІРХ — ІРХСРит. п. 


Под расширяемостью протокола РРР понимается как возможность включения новых про- 
токолов в стек РРР так и возможность применения собственных протоколов пользователей 
вместо рекомендуемых в РРР по умолчанию. Это позволяет наилучшим образом настроить 
РРР для каждой конкретной ситуации. Одним из привлекательных свойств протокола 
РРР является способность использования нескольких физических линий связи для об- 
разования одного логического канала, то есть агрегирование каналов. Эту возможность 
реализует многоканальный протокол РРР (МЕРРР). 


Технологии доступа 


Проблема последней мили 


Организация удаленного доступа является одной из наиболее острых проблем компью- 
терных сетей. Она получила название проблемы последней мили, где под последней милей 
подразумевается расстояние от точки присутствия (РОР) оператора связи до помещений 
клиентов. Сложность этой проблемы определяется несколькими факторами. С одной 
стороны, современным пользователям необходим высокоскоростной доступ, обеспечи- 
вающий качественную передачу трафика любого типа, в том числе данных, голоса, видео. 
Для этого нужны скорости в несколько мегабит в секунду, а для качественного приема 
телевизионных программ — в несколько десятков мегабит в секунду. С другой стороны, 
значительное число домов в больших и малых городах и особенно в сельской местности 


1 См. раздел «Строгая аутентификация в протоколе СНАР» главы 27. 
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по-прежнему соединены с РОР абонентскими окончаниями телефонной сети, которые не 
были рассчитаны на передачу компьютерного трафика. 


Кардинальная перестройка кабельной инфраструктуры доступа требует времени — слиш- 
ком масштабна эта задача из-за огромного количества зданий и домов, географически 
рассеянных по огромной территории. Процесс прокладки к жилым домам оптического 
кабеля начался уже давно, но он затронул пока только большие города и крупные здания 
с множеством потенциальных пользователей. 


Долгое время наиболее распространенной технологией доступа был коммутируемый 
доступ, когда пользователь устанавливал коммутируемое соединение с корпоративной 
сетью или Интернетом через телефонную сеть с помощью модема, работающего в го- 
лосовой полосе частот. Такой способ обладает очевидным и существенным недостат- 
ком — скорость доступа ограничена несколькими десятками килобит в секунду из-за 
фиксированной узкой полосы пропускания примерно в 3,4 кГц, выделяемой каждому 
абоненту телефонной сети (вспомните технику мультиплексирования ЕОМ, применяе- 
мую в телефонных сетях и описанную в главе 8). Такие скорости сегодня устраивают все 
меньше и меньше пользователей. 


Сегодня существует ряд технологий, способных предоставлять услуги скоростного уда- 
ленного доступа на основе существующей инфраструктуры абонентских окончаний — 
телефонных сетей или сетей кабельного телевидения. Эти технологии, обеспечивающие 
скорость от нескольких сотен килобит в секунду до нескольких десятков мегабит в секун- 
ду, используют следующий прием: после достижения РОР компьютерные данные уже не 
следуют по телефонной сети или сети кабельного телевидения, а ответвляются с помощью 
специального оборудования в сеть передачи данных. Это позволяет преодолеть ограниче- 
ния на полосу пропускания, отводимую абоненту в телефонной сети или сети кабельного 
телевидения, и повысить скорость доступа. Наиболее популярной технологией такого типа 
является технология АОЗТ, использующая телефонные абонентские окончания и кабель- 
ные модемы, работающие поверх сети кабельного телевидения. 


Применяются также различные беспроводные технологии доступа, обеспечивающие как 
фиксированный, так и мобильный доступ. Набор таких беспроводных технологий очень 
широк — в него входят и беспроводные сети Есћегпеѓ (802.11), различные фирменные 
технологии, передача данных по сети мобильной телефонии, а также технологии фикси- 
рованного доступа, например стандарта 802.16. В этой главе мы рассмотрим технологии 
фиксированного доступа, а мобильный беспроводной доступ изучается в главе 23. 


Рисунок 19.6 иллюстрирует разнообразный и пестрый мир удаленного доступа. Мы видим 
здесь клиентов различных типов, отличающихся используемым оборудованием и требо- 
ваниями к параметрам доступа. Кроме того, помещения клиентов могут быть соединены 
с ближайшей точкой доступа оператора связи (то есть с ближайшим центральным офисом, 
если пользоваться терминологией операторов телефонной сети) различными способами: 
с помощью аналогового или цифрового окончания телефонной сети, телевизионного кабе- 
ля, беспроводной связи. Наконец, сам оператор связи может иметь различную специали- 
зацию, то есть быть поставщиком телефонных услуг, либо поставщиком услуг Интернета, 
либо оператором кабельного телевидения, либо универсальным оператором, предоставля- 
ющим весь спектр услуг и обладающим собственными сетями всех типов. 
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Рис. 19.6. Клиенты удаленного доступа 


Коммутируемый аналоговый доступ 


Основная идея коммутируемого доступа состоит в том, чтобы использовать имеющуюся 
телефонную сеть для организации коммутируемого соединения между компьютером 
домашнего пользователя и сервером удаленного доступа (Кетое Ассеѕѕ Ѕегуег, ВА), 
установленным на границе телефонной и компьютерной сетей. Компьютер пользователя 
подключается к телефонной сети с помощью коммутируемого модема, поддерживающего 
стандартные процедуры набора номера и имитирующего работу телефонного аппарата 
для установления соединения с КА$. Схема организации доступа через аналоговую теле- 
фонную сеть показана на рис. 19.7. 
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Рис. 19.7. Доступ через телефонную сеть с аналоговыми окончаниями 


Сервер КАЅ имеет два типа соединений: с телефонной сетью через пул модемов и с локаль- 
ной [Р-сетью, соединенной с Интернетом. Для телефонной сети и КАЅ, и модемы клиентов 
являются обычными пользователями. Коммутаторы телефонной сети сегодня чаще всего 
цифровые (хотя кое-где остались еще и аналоговые). Однако несмотря на преимуществен- 
но цифровой характер телефонной сети, для использования ее в качестве сети доступа 
важен тот факт, что ее абонентское окончание является аналоговым, и между абонентами 
сети организуется аналоговый канал с полосой пропускания 4 кГц. 


Для получения доступа в Интернет или корпоративную сеть через телефонную сеть модем 
пользователя должен выполнить вызов по одному из номеров, присвоенному модемам, 
находящимся на сервере удаленного доступа. После установления соединения между мо- 
демами в телефонной сети образуется канал с полосой пропускания около 4 кГц. Точное 
значение ширины имеющейся в распоряжении модемов полосы зависит от типа телефон- 
ных коммутаторов на пути от модема пользователя до модема КАЪ и от поддерживаемых 
ими сигнальных протоколов. В любом случае эта полоса не превышает 4 кГц, что принци- 
пиально ограничивает скорость передачи данных модемом. После установления модемного 
соединения с КАЅ телефонная линия становится недоступной для телефона пользователя, 
так как модем занимает своим сигналом всю доступную полосу пропускания линии. 
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Наивысшим достижением современных модемов на канале тональной частоты является 
скорость в 33,6 Кбит/с, если на пути следования информации приходится выполнять ана- 
лого-иифровое преобразование, и 56 Кбит/с, если преобразование иифро-аналоговое. Такая 
асимметрия связана с тем, что аналого-цифровое преобразование вносит существенно бо- 
лее значительные искажения в передаваемые дискретные данные, чем цифро-аналоговое. 
Очевидно, что такие скорости нельзя назвать приемлемыми для большинства современных 
приложений, которые широко используют графику и другие мультимедийные формы 
представления данных. Модемы КА$ обычно устанавливаются в точке присутствия по- 
ставщика услуг. 


Если же целью пользователя является доступ нев Интернет, а в корпоративную сеть, то он 
задействует Интернет как промежуточную сеть, которая ведет к корпоративной сети (также 
подключенной к Интернету). Поскольку плата за доступ в Интернет не зависит от рассто- 
яния до узла назначения, удаленный доступ к ресурсам корпорации стал сегодня намного 
дешевле даже с учетом оплаты за локальный телефонный звонок и доступ в Интернет. 
Правда, при такой двухступенчатой схеме доступа пользователю приходится выполнять 
аутентификацию дважды — при доступе к КАЅ поставщика услуг и при доступе к КАЅ 
предприятия. Существуют протоколы, которые исключают подобное дублирование, напри- 
мер двухточечный протокол туннелирования (Роіпі-ѓо-Роіпё Типпейая Ргоѓосо!, РРТР). 
При работе РРТР сервер удаленного доступа поставщика услуг передает транзитом запрос 
пользователя серверу аутентификации предприятия и в случае положительного ответа со- 
единяет пользователя через Интернет с корпоративной сетью. КА5 может подключаться 
к телефонному коммутатору с помощью и аналоговых, и цифровых окончаний. Сервер 
ВА$ обслуживает подключенные к нему клиентские компьютеры, используя протокол 
Ргоху-АКР (см. главу 14). Это означает, что клиентский компьютер работает в режиме 
удаленного узла локальной ІР-сети, с которой соединен сервер КА$, получая на время со- 
единения один из [Р-адресов этой сети. 


Модемы 


Модем реализует функции физического и канального уровней. Канальный уровень нужен 
модему для того, чтобы выявлять и исправлять ошибки, появляющиеся из-за искажений 
битов при передаче через телефонную сеть. Вероятность битовой ошибки в этом случае до- 
вольно высока, поэтому функция исправления ошибок является очень важной для модема. 
Для протокола, который работает поверх модемного соединения между удаленным ком- 
пьютером и КА$, канальный протокол модема прозрачен — его работа проявляется толь- 
ко в том, что интенсивность битовых ошибок (ВЕК) снижается до приемлемого уровня. 
Так как в качестве канального протокола между компьютером и КАЅ сегодня в основном 
используется протокол РРР который не занимается восстановлением искаженных и по- 
терянных кадров, способность модема исправлять ошибки оказывается весьма полезной. 


Протоколы и стандарты модемов определены в рекомендациях ІТ0-Т серии У и делятся на три 
группы: 

О стандарты, определяющие скорость передачи данных и метод кодирования; 

О стандарты исправления ошибок; 

О стандарты сжатия данных. 
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Стандарты метода кодирования и скорости передачи данных. Модемы являются одни- 
ми из наиболее старых и заслуженных устройств передачи данных; в процессе своего 
развития они прошли долгий путь, прежде чем научились работать на скоростях до 


56 Кбит/с. 


Первые модемы работали со скоростью 300 бит/с и исправлять ошибки не умели. Эти 
модемы функционировали в асинхронном режиме, означающем, что каждый байт пере- 
даваемой компьютером информации передавался асинхронно по отношению к другим 
байтам, для чего он сопровождался стартовыми и стоповыми символами, отличающимися 
от символов данных. Асинхронный режим упрощает устройство модема и повышает надеж- 
ность передачи данных, но существенно снижает скорость передачи, так как каждый байт 
дополняется одним или двумя избыточными старт-стопными символами. Современные 
модемы могут работать как в асинхронном, так и синхронном режимах. 


Переломным моментом в истории развития модемов стало принятие стандарта У.34, 
который повысил максимальную скорость передачи данных в два раза, с 14 до 28 Кбит/с, 
по сравнению со своим предшественником — стандартом У.32. Особенностью стандарта 
У.34 являются процедуры динамической адаптации к изменениям характеристик канала во 
время обмена информацией. В У.34 определено 10 согласительных процедур, по которым 
модемы после тестирования линии выбирают свои основные параметры: несущую поло- 
су и полосу пропускания, фильтры передатчика и др. Адаптация осуществляется в ходе 
сеанса связи без прекращения и без разрыва установленного соединения. Возможность 
такого адаптивного поведения была обусловлена развитием техники интегральных схем 
и микропроцессоров. Первоначальное соединение модемов проводится по стандарту \.21 
на минимальной скорости 300 бит/с, что позволяет работать на самых плохих линиях. За- 
тем модемы продолжают переговорный процесс до тех пор, пока не достигают максимально 
возможной в данных условиях производительности. Применение адаптивных процедур 
сразу позволило поднять скорость передачи данных более чем в 2 раза по сравнению 
с предыдущим стандартом — \.32 $. 


Принципы адаптивной настройки к параметрам линии были развиты в стандарте У.34+. 
Стандарт У.34+ позволил несколько повысить скорость передачи данных за счет усовер- 
шенствования метода кодирования. Один передаваемый кодовый символ несет в новом 
стандарте в среднем не 8,4 бита, как в протоколе У.34, а 9,8. При максимальной скорости 
передачи кодовых символов в 3429 бод (это ограничение непреодолимо — оно опреде- 
ляется полосой пропускания канала тональной частоты) усовершенствованный метод 
кодирования (один из вариантов ОАМ) дает скорость передачи данных в 33,6 Кбит/с 
(3429 х 9,8 = 33604). Протоколы У.34 и У.34+ позволяют работать на двухпроводной выде- 
ленной линии в дуплексном режиме. Дуплексный режим передачи в стандартах \.34, У.34+ 
поддерживается не частотным разделением канала, а одновременной передачей данных 
в обоих направлениях. Принимаемый сигнал определяется вычитанием с помощью про- 
цессоров О$Р передаваемого сигнала из общего сигнала в канале. Для этого используются 
также процедуры эхо-подавления, так как передаваемый сигнал, отражаясь от ближнего 
и дальнего концов канала, вносит искажения в общий сигнал. 


ПРИМЕЧАНИЕ — 


Заметьте, что метод передачи данных, описанный в проекте стандарта 802.3ЗаБ, определяющего работу 
технологии Сірађіє Е{Фегпе на витой паре категории 5, взял многое из стандартов У.32-У.34+. 
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Стандарт У.90 описывает технологию недорогого и быстрого доступа пользователей 
к сетям поставщиков услуг, предлагая асимметричный обмен данными: со скоростью до 
56 Кбит/с из сети и со скоростью до 33,6 Кбит/с в сеть. Стандарт совместим со стандартом 
\.34+. Именно этот стандарт имелся в виду, когда мы говорили о возможности нисходящей 
передачи данных со скоростью 56 Кбит/с при условии, что вдоль всего пути не встретится 
ни одного аналого-цифрового преобразователя. 


В стандарте У.92 учитывается возможность принятия модемом второго вызова во время 
соединения. В таких случаях современные станции передают на телефонный аппарат 
специальные двойные тоновые сигналы, так что абонент может распознать эту ситуацию 
и, нажав на аппарате кнопку Е1аѕћ, переключиться на второе соединение, переведя первое 
соединение в режим удержания. Модемы предыдущих стандартов в таких случаях просто 
разрывают соединение, что не всегда удобно для абонента — может быть, в этот момент он 
заканчивает загружать из Интернета большой файл, и вся его работа пропадает. 


Коррекция ошибок. Для модемов, работающих с ОТЕ по асинхронному интерфейсу, ко- 
митет ГТО-Т разработал протокол коррекции ошибок У.42. До его принятия в модемах, 
работающих по асинхронному интерфейсу, коррекция ошибок обычно выполнялась 
по фирменным протоколам М1сгосот. Эта компания реализовала в своих модемах не- 
сколько разных процедур коррекции ошибок, назвав их сетевыми протоколами Місгосот 
(Місгосот №ъесуогКкіпр Ргоѓосої, ММР) классов 2—4. 


В стандарте У.42 основным является протокол доступа к линии связи для модемов 
(Глюк Ассеѕѕ Рготосо] юг Модетз, [.АР-М). Рекомендации У.42 позволяют устанавливать 
связь без ошибок с любым модемом, поддерживающим этот стандарт, а также с любым 
ММР-совместимым модемом. Протокол ГАР-М принадлежит семейству НОГС и в целом 
работает так же, как и другие протоколы этого семейства — с установлением соединения, 
кадрированием данных, нумерацией кадров и восстановлением кадров с поддержкой ме- 
тода скользящего окна. 


Сжатие данных. Почти все современные модемы при работе по асинхронному интерфейсу 
поддерживают стандарты сжатия данных ГТО-Т У.42615 и ММР-5 (обычно с коэффициен- 
том 1:4, некоторые модели — до 1:8). Сжатие данных повышает пропускную способность 
линии связи. Передающий модем автоматически сжимает данные, а принимающий их 
восстанавливает. Модем, поддерживающий протокол сжатия, всегда пытается установить 
связь со сжатием данных, но если второй модем этот протокол не поддерживает, то и пер- 
вый модем переходит на обычную связь без сжатия. При работе модемов по синхронному 
интерфейсу наиболее популярным является протокол сжатия синхронных потоков дан- 
ных (Ѕупсһгопоиѕ Оаба Сотргеѕѕіоп, $0С) компании Моѓого!а. 


($) Коммутируемый доступ через аналоговую телефонную сеть 
($) Коммутируемый доступ через сеть 150 № 
($) Сети [50М 


Технология АОЗЁ. 


Технология асимметричного цифрового абонентского окончания (Аѕѕутеїгіс Юіріѓа] 
ЗибзспЬег пе, АОЗТ.) была разработана для обеспечения скоростного доступа в Интернет 
массовых индивидуальных пользователей, квартиры которых оснащены обычными або- 
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нентскими телефонными окончаниями. Появление технологии АОЗ1. было революцион- 
ным событием для массовых пользователей Интернета, потому что для них оно означало 
повышение скорости доступа в десятки (а то и более) раз без какого бы то ни было измене- 
ния кабельной проводки в квартире и доме. Для доступа через АОЗТ, как и для аналогового 
коммутируемого доступа, нужны телефонные абонентские окончания и модемы. 


Принципиальным отличием доступа через АОЗЕ от коммутируемого доступа является то, что 
АБЗЕ-модемы работают только в пределах абонентского окончания, в то время как коммутиру- 
емые модемы используют возможности телефонной сети, устанавливая в ней соединение «из 
конца в конец», которое проходит через несколько транзитных коммутаторов. 


< Интернет Сеть РТМ 


тагасонныя В 
коммутатор 


АОЗЕ- -распределитель раа 
9 ы. -распределитель 


Ар51-распределитель 


Архі -распределитель 


а Д?) Р 


Рис. 19.8. Отличия условий работы А051 -модемов от обычных модемов 


Поэтому если традиционные телефонные модемы (например, У.34, У.90) должны обе- 
спечивать передачу данных на канале с полосой пропускания в 3100 Гц, то АЮ51 -модемы 
получают в свое распоряжение полосу порядка 1 МГц — эта величина зависит от длины 
кабеля, проложенного между помещением пользователя и РОР и сечения проводов этого 
кабеля. Схема доступа через АрЮ$1. показана на рис. 19.8. 


АРЅ1-модемы, подключаемые к обоим концам короткой линии между абонентом и РОР, 
образуют три канала: высокоскоростной нисходящий канал передачи данных из сети 
в компьютер, менее скоростной восходящий канал передачи данных из компьютера в сеть, 
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а также канал телефонной связи, по которому передаются обычные телефонные разговоры. 
Передача данных в канале от сети к абоненту в стандарте АОЗ1. 1998 года происходит со 
скоростью от 1,5 до 8 Мбит/с, а в канале от абонента к сети — от 16 Кбит/с до 1 Мбит/с; 
для телефона оставлена традиционная полоса в 4 кГц (рис. 19.9). 


Восходящая 
полоса 


Нисходящая полоса 


0 2 25 138 1104 


Частота (кГц) 


Рис. 19.9. Распределение полосы пропускания абонентского окончания между каналами АО51 


Для асимметрии нисходящей и восходящей скоростей полоса пропускания абонентского 
окончания делится между каналами также асимметрично. На рис. 19.10 показано рас- 
пределение полосы между каналами, при этом приведенные величины для восходящей 
и нисходящей полос являются максимальными значениями, которые модем в каждом 
конкретном сеансе может использовать полностью или же частично. 


Неопределенность используемых полос частот объясняется тем, что модем постоянно те- 
стирует качество сигнала и выбирает только те части выделенного для передачи спектра, 
в которых соотношение сигнал/шум является приемлемым для устойчивой передачи дис- 
кретных данных. Заранее сказать, в каких частях выделенного спектра это соотношение 
окажется приемлемым, невозможно, так как это зависит от длины абонентского оконча- 
ния, сечения провода, качества витой пары в целом, а также помех, которые наводятся 
на провода абонентского окончания. А51 -модемы умеют адаптироваться к качеству 
абонентского окончания и выбирать максимально возможную на данный момент скорость 
передачи данных. 


В помещении клиента устанавливается распределитель, который выполняет разделение ча- 
стот между АЮЅ1.-модемом и обычным аналоговым телефоном, обеспечивая их совместное 
сосуществование. В РОР устанавливается так называемый мультиплексор доступа к циф- 
ровому абонентскому окончанию (Піріса! ЅиБѕсгібег пе Ассеѕѕ Миар[ехег, ОЗГАМ). Он 
принимает компьютерные данные, отделенные распределителями на дальнем конце або- 
нентских окончаний от голосовых сигналов. 51. АМ-мультиплексор должен иметь столько 
АОЗГ-модемов, сколько пользователей удаленного доступа обслуживает поставщик услуг 
с помощью телефонных абонентских окончаний. После преобразования модулированных 
сигналов в дискретную форму ОЅГАМ отправляет данные на ІР-маршрутизатор, который 
также обычно находится в помещении РОР. Далее данные поступают в магистраль пере- 
дачи данных поставщика услуг и доставляются в соответствии с [Р-адресами назначения 
на публичный сайт Интернета или в корпоративную сеть пользователя. Отделенные рас- 
пределителем голосовые сигналы передаются на телефонный коммутатор, который обра- 
батывает их так, как если бы абонентское окончание пользователя было непосредственно 
к нему подключено. 
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Широкое распространение технологий А51. должно сопровождаться некоторой пере- 
стройкой работы поставщиков услуг Интернета и операторов телефонных сетей, так как 
их оборудование должно теперь работать совместно. Возможен также вариант, когда 
альтернативный оператор связи берет оптом в аренду большое количество абонентских 
окончаний у традиционного местного оператора или же арендует некоторое количество 
модемов в ОЅ5ГАМ. Технология АОЗТ. постоянно совершенствуется, стараясь поднять 
потолки скоростей нисходящего и восходящего потоков в соответствии с растущими 
требованиями пользователей, желающими смотреть видео в хорошем качестве на до- 
машних компьютерах. В стандарте Ар512+ удалось поднять верхний потолок скорости 
нисходящего потока до 24, а восходящего — до 1,4 Мбит/с за счет расширения использу- 
емой полосы пропускания абонентского окончания до 2,2 МГц и ее более эффективного 
использования. 


Высокие скорости АОЗТ.-модемов порождают для поставщиков услуг новую проблему, 
а именно — проблему дефицита пропускной способности. Действительно, если бы каждый 
абонент доступа через АБЗГ. загружал данные из Интернета с максимальной скоростью, 
например 1 Мбит/с, то при 100 абонентах поставщику услуг потребовался бы канал с про- 
пускной способностью 100 Мбит/с, то есть Еаѕі Ећегпеѓ, а если разрешить пользователям 
работать со скоростью 6 Мбит/с, то уже нужен канал 10С СіваЬї Еѓћегпеї. 


Более высокие скорости, чем Ар512+, обеспечивают так называемый широкополосный 
доступ по оптическому волокну до распределительного шкафа (Е ге То Тће Сапе. Этот 
способ доступа комбинирует АБЗ1.2+ доступ от помещения пользователя до уличного рас- 
пределительного шкафа провайдера по телефонным медным парам, с передачей данных по 
оптическому волокну от распределительного шкафа до точки доступа провайдера. За счет 
такого решения сокращается длина медного окончания, а значит, повышается его полоса 
пропускания. При расстояниях медного окончания меньше 400 м нисходящая скорость 
может достигать 60-70 Мбит/с, а восходящая — до 20 Мбит/с. 


Пассивные оптические сети 


Проведение оптического волокна от точки присутствия оператора до здания пользовате- 
ля является самым качественным решением проблемы организации удаленного доступа, 
позволяя обеспечить высокие скорости обмена данными и хорошую защищенность дан- 
ных. Для подключения многочисленных зданий индивидуальных и корпоративных поль- 
зователей, занимающих значительную территорию, оператор должен создать некоторую 
сеть доступа. Для ее организации оператор может задействовать технологии РОН, 5рН 
или ОТМ№, которые мы рассматривали в главе 10. Оптическая сеть, построенная на этих 
технологиях, должна включать такие устройства, как усилители, повторители и муль- 
типлексоры. Все эти устройства являются активными, то есть включают электрические 
схемы, нуждающиеся в электропитании. Такое решение, безусловно, вполне допустимо, 
и многие операторы его применяют для построения сетей доступа, требующих прокладки 
оптического волокна до помещений пользователей. Однако это решение является до- 
вольно дорогим. Для удешевления оптической сети доступа еще в середине 90-х годов 


была предложена технология, получившая название пассивная оптическая сеть (Раѕѕіуе 
Орйиса! МесумогКк, РОМ). 


Название «пассивная» происходит от применения в сети пассивных оптических уст- 
ройств — разветвителей (зрИ(ег), не требующих электропитания. С помощью раз- 
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ветвителей организуется древовидная оптоволоконная структура, соединяющая точку 
присутствия оператора с помещениями пользователей (рис. 19.10). Разветвитель вы- 
полняет простую операцию — он направляет световой сигнал из одного входного во- 
локна в несколько выходных, идущих по направлению к пользователям. Разветвитель 
выполняет также обратную операцию мультиплексирования сигналов пользователей 
в одно волокно, идущее к РОР. 


Б”, 
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Рис. 19.10. Структура пассивной оптической сети доступа 


Коэффициент разветвления этих пассивных устройств может достигать значений 1:16 
или 1:32, а максимальное расстояние от них до активных устройств, находящихся в точке 
присутствия оператора, равно 20 км (применяется одномодовое волокно, то есть 5МЕ). 
Поскольку разветвители не требуют электропитания, их можно размещать в близких 
к зданиям пользователей точках городской инфраструктуры, где активные устройства не 
смогли бы работать, тем самым сокращается суммарная длина оптического волокна. Эко- 
номия достигается за счет того, что вместо № индивидуальных волокон на отрезке между 
центральным офисом оператора и разветвителем требуется только одно общее волокно. 
Кроме того, пассивные разветвители сами по себе дешевле активных мультиплексоров. 
Оператор может применять не один, а два уровня разветвления. На рисунке показан имен- 
но такой вариант — первый разветвитель распределяет сигнал между четырьмя волокнами, 
а разветвители второго уровня распределяют его между конечными пользователями. 


К вершине дерева оптических волокон подключается центральный терминал оптической 
линии (Орбса! пе Тегтіпа!, ОІТ). К каждому оптическому волокну на стороне пользо- 
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вателя подключается модуль оптической сети (ОрИса| Меѓмогк Оптик, ОМО), совместно 
с ОГТ организующий прием и передачу данных между пользователем и сетью оператора 
связи. Кроме ОМО на стороне пользователя должен работать терминал оптической сети 
(Ориса! Меѓмогк Тегпипа], ОМТ), который обеспечивает интерфейсы для терминальных 
устройств пользователя — телевизора, компьютера и телефона (соответственно ТУ, СиТ 
на рисунке). Часто функции ОМО и ОМТ совмещены в одном и том же устройстве (как 
это и показано на рисунке). 


Для передачи цифровой информации в нисходящем (от ОІТ к модулям ОМО) и восхо- 
дящем (от модулей ОМО к ОГТ) направлениях используется две волны, распространяе- 
мые в одном волокне: 1490 нм для нисходящего направления и 1310 нм для восходящего. 
Для передачи видеосигнала обычно выделяется отдельная волна в 1550 нм, идущая 


в нисходящем направлении. Волны мультиплексируются в ОІТ и ОМО по технологии 
МОМ. 


По своей природе древовидная сеть доступа, построенная на пассивных разветвителях 
и отрезках оптического волокна, является разделяемой средой. Действительно, световой 
сигнал некоторой волны, отправленный ОІТ, одновременно распространяется по всем от- 
резкам оптического волокна и достигает всех пользователей сети. При передаче в обратном 
направлении разделяемой средой являются отрезки волокна от разветвителей, установ- 
ленных на стороне пользователей, а также разветвителя, установленного в РОР (в нашем 
примере имеется четыре разделяемые среды для обратного направления). 


Очевидно, что для работы на разделяемой среде необходим какой-то способ доступа, 
регулирующий ее использование таким образом, чтобы сигналы, посылаемые разными 
узлами, не смешивались. Правда, проблема скоординированного применения разделяемой 
среды существует только для восходящего направления. Для нисходящего направления 
в сети имеется только один передатчик — ОІТ. Поэтому передатчик ОТТ передает кадры 
данных (например, кадры Еегпе®), направленные некоторому конечному узлу сети 
РОМ, тогда, когда ему это необходимо (то есть тогда, когда такой кадр поступает в ОТТ из 
локальной сети оператора, к которой подключен передатчик). Кадр поступает по древо- 
видной пассивной оптической сети на все конечные узлы сети, но принимает его только 
тот узел, который распознает собственный адрес в заголовке кадра, остальные узлы просто 
игнорируют чужой кадр. 


Для восходящего направления обычно применяется схема с центральным арбитром в со- 
четании с мультиплексированием с разделением времени ТОМ. Арбитром является цен- 
тральной устройство ОГТ, управляющее распределением тайм-слотов между модулями 
ОМО. Модуль ОМО передает в восходящем направлении кадры данных только в пределах 
своего тайм-слота, все остальное время он простаивает, накапливая кадры для передачи 
в своем буфере. Алгоритм распределения тайм-слотов между модулями ОМО может быть 
адаптивным, подстраивающимся под имеющиеся потребности модулей ОМИ в передаче 
кадров. Для телевизионного сигнала проблемы разделения среды не существует, так как 
он передается только в нисходящем направлении, причем всем приемникам нужен один 
и тот же сигнал. 


Как и во всех технологиях, использующих разделяемую среду, пропускная способность 
сети РОМ, приходящаяся на один узел, может быть существенно ниже скорости передачи 
данных в среде. Если все узлы сети активно обмениваются информацией с внешним миром, 
то доля скорости для узла снижается в М раз. 
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Существует две группы стандартов РОМ: от ГТО-Т и от ТЕЕЕ. Последние версии этих 
стандартов поддерживают скорости передачи данных 1 и 10 Гбит/с. 


Стандарты ІТО-Т СРОМ (Стари РОМ) и ХС-РОМ (10 Сіваыг РОМ) обеспечивают 
совместимость с технологией ЗОН. Эти стандарты предлагают собственный формат 
кадров, который может эффективно переносить несколько пользовательских кадров, 
например кадров ЕВегпе*. Кадры СРОМ и ХС-РОМ также могут переносить данные 
ЗОН с сохранением их синхронности, что важно при передаче голоса и видео. Стан- 


дарты ГТО-Т обеспечивают несимметричные скорости передачи данных: 2,488 /1,244 
и 9,953/2,488 Гбит/с. 


Стандарты ІЕЕЕ ЕРОМ (Ефегпе РОМ, 802.Заһ) и 10С-ЕРОМ (10С Есһегпеї РОМ, 802.3ау) 
поддерживают кадры ЕВегпе непосредственно. В этих стандартах канал передачи данных 
является симметричным, то есть данные передаются как в нисходящем, так и в восходящем 
направлениях с одинаковой скоростью 1 и 10 Гбит/с соответственно. 


($) Доступ через сети кабельного телевидения 


($) Беспроводной доступ 


ГЛАВА 20 Технология МРІЅ 


Базовые принципы и механизмы МРЕ$ 


Технология многопротокольной коммутации по меткам (Ми! Ргоѓосо! ГаБе| Ѕжіссһіпе, 
МРІ$) считается многими специалистами одной из самых перспективных транспортных 
технологий, объединяющих технику виртуальных каналов с функциональностью стека 
ТСР/ІР Главное достоинство МРГ$ видится сегодня многим специалистам в способ- 
ности предоставлять разнообразные транспортные услуги в [Р-сетях, в первую очередь — 
услуги виртуальных частных сетей. Эти услуги отличаются разнообразием, они могут 
предоставляться как на сетевом, так и на канальном уровне. Кроме того, МРТ.5 дополняет 
дейтаграммные ІР-сети таким важным свойством, как передача трафика в соответствии 
с техникой виртуальных каналов, что позволяет выбирать нужный режим передачи тра- 
фика в зависимости от требований услуги. Виртуальные каналы МРІ.5 обеспечивают 
инжиниринг трафика, так как они поддерживают детерминированные маршруты. 


Совмещение коммутации и маршрутизации 


Технология МРЕЗ объединяет в одном коммуникационном устройстве два метода продвижения 
пакетов — дейтаграммный метод и метод коммутации виртуальных каналов. 


Дейтаграммное продвижение реализуется протоколом [Р — он работает точно так же, 
как и в традиционном ІР-маршрутизаторе, при этом таблица маршрутизации может соз- 
даваться как вручную, так и протоколами маршрутизации стека ТСР/ІР. В то же время 
в этом коммуникационном устройстве, называемом маршрутизатором с коммутацией по 
меткам (ГаБе] З\уисЬ Кощег, 188В.)1, имеется второй модуль продвижения, работающий 
в соответствии с техникой коммутации виртуальных каналов, который здесь называется 
модулем коммутации по меткам (рис. 20.1). 


Оба модуля продвижения управляются одним и тем же слоем управления 5К, куда наряду 
с традиционными протоколами ІР-маршрутизации, такими как КІР, ОЗРЕ 15-15 и ВСР 
входят и новые протоколы, называемые сигнальными. Сигнальные протоколы нужны 
для автоматического установления в сети виртуального пути, называемого в технологии 
МРІ5 путем коммутации по меткам (Т.аБе] З\уисЫте Ра, 18Р). Наличие общего слоя 
управления позволяет 5К гибко использовать наличие двух модулей продвижения — одну 
часть потоков данных он может продвигать, применяя технику ІР-продвижения, а дру- 
гую — технику коммутации по меткам. Слой управления имеет информацию о топологии 
сети, необходимую для работы каждого уровня продвижения. 


1 Заметим, что на практике такое устройство чаще всего по-прежнему называют [Р-маршрутизатором 
или ІР/МРІ5-маршрутизатором. 
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Слой управления: 
— протоколы маршрутизации 
— сигнальные протоколы 


Поток 1 Е 


Отображение 


Рис. 20.1. Структура (ЗВ 


Какие именно потоки нужно продвигать тем или иным способом, решает администратор 
15К, который конфигурирует его соответствующим образом. В зависимости от параметров 
конфигурации, ІР/МРІ5-маршрутизатор выполняет отображение входных потоков па- 
кетов на модуль [Р-продвижения или модуль коммутации по меткам. Поток выделяется 
в соответствии с его признаками, к которым могут относиться [Р-адреса, МАС-адреса, 
порты ТСР/ЧРР и другие поля заголовка пакета и кадра, обычно используемые для 
классификации потоков данных. 


Пути коммутации по меткам прокладываются в сети независимо от того, существует ли 
поток пакетов в сети в данное время или только является топологически возможным. 
Последнее означает, что в сети имеются некоторые два конечных узла, определяемые 
[Р-адресами, и между ними есть возможность установить путь через промежуточные 
[Р/МРГ$-маршрутизаторы. Такое свойство путей коммутации по меткам иногда называют 
«топологически ведомым» ({оро]ову-4иуеп). Здесь же нужно отметить, что при разработке 
технологии МРІ.5 обсуждалась и другая идея — идея установления путей коммутации 
по меткам в зависимости от характеристик существующих в сети потоков. Такой способ 
установления путей коммутации по меткам можно было бы назвать «ведомым данными» 
(ааса-Ягіуеп). Из сравнения свойств дейтаграммных технологий и технологий виртуальных 
каналов читателям известно, что серьезным недостатком коммутируемых виртуальных пу- 
тей является их неэффективность при передаче кратковременных потоков из-за внесения 
задержки при их установлении. Имея в виду этот недостаток, сторонники техники «ведо- 
мых данными» путей коммутации по меткам (МРГ.5) предлагали динамически создавать 
такие пути только для долговременных потоков (то есть только после того, как некоторый 
поток покажет свою «долговременность» ), а пакеты кратковременных потоков передавать 
путем стандартного ІР-продвижения, эффективного для этого типа потоков. Но такое кар- 
динальное изменение логики работы коммутационных устройств, требующее измерения 
длительности существования потока, было, в конце концов, отвергнуто и заменено более 
привычным способом формирования таблиц продвижения заранее (до появления потока) 
в соответствии с топологией сети. 


В заключение обзора идеи совмещения техники дейтаграммной передачи и виртуальных 
каналов вновь подчеркнем значение единого слоя управления в устройстве Г[.5К, еще раз 
взглянув для этого на рис. 18.5, на котором показаны и уровень ІР, и уровень канального 
протокола. Если считать, что на канальном уровне коммутаторы поддерживают технологию 
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МРІ5, то чем такая двухслойная структура сети отличается от двухслойной структуры 
устройства 1.5 К? И почему с помощью двухслойной сети нельзя оказывать те же услуги 
и с таким же удобством для оператора сети, что и с помощью однослойной внешне, но 
двухслойной внутренне сети устройств [.5К? Основное отличие как раз и заключается 
в том, что в случае двухслойной сети каждый слой продвижения данных находится под 
контролем собственного слоя управления, созданного без учета существования друг друга 
в одной сети, поэтому заставить их работать вместе и скоординированно непросто. Скорее 
всего, администратор сети сможет использовать факт наличия в сети двух слоев, способ- 
ных предоставлять транспортные услуги, простым физическим подключением различных 
клиентов ко входным интерфейсам разных слоев. 


Наличие единого слоя управления в устройствах 5К как раз и создает возможность координи- 
ровать работу двух разных слоев продвижения пакетов из одного центра. Протоколы маршрути- 
зации и сигнализации в этом случае явно учитывают существование двух способов продвижения 
пакетов, при этом как автоматически, так и с учетом конфигурации, заданной администратором, 
обслуживают потоки данных пользователей наиболее рациональным способом. 


Пути коммутации по меткам 


Пути коммутации по меткам в технологии МРІ.5 представляют собой некоторый гибрид 
коммутируемых и постоянных виртуальных каналов. Их можно отнести к коммутируемым, 
так как они устанавливаются в сети автоматически с помощью сигнальных протоколов. 
В то же время они могут считаться постоянными, так как их создание не инициируется 
динамическим запросом, вызванным необходимостью установить сеанс связи между 
конечными узлами и передать некоторые данные, а имеющейся топологией сети, мало из- 
меняющейся во времени. Пути коммутации по меткам в технологии МРІ5 поддерживают 
инжиниринг трафика за счет соответствующих протоколов маршрутизации и специального 
сигнального протокола. Рассмотрим работу пути 18Р на примере сети, показанной на 
рис. 20.2. Эта МРІ5-сеть взаимодействует с несколькими [Р-сетями, возможно, не под- 
держивающими технологию МРІ.5. 


На рисунке мы видим новый тип устройств — это пограничные устройства 1.5 К, которые 
в технологии МРІ.5 обозначаются как «пограничные коммутирующие по меткам марш- 
рутизаторы» (Габе! зуисЬ Еве Кощег, ЕК). Устройство ГЕК, являясь функционально 
более сложным, принимает трафик от других сетей в форме стандартных [Р-пакетов, 
а затем добавляет к каждому пакету метку и направляет вдоль соответствующего пути 
к выходному устройству ГЕК через несколько промежуточных устройств 1.5 К. При этом 
пакет продвигается не на основе [Р-адреса назначения, а на основе метки. Как и в других 
технологиях, использующих технику виртуальных каналов, метка имеет локальное значе- 
ние в пределах каждого устройства ГЕК или [.5 К, то есть при передаче пакета с входного 
интерфейса на выходной выполняется смена значения метки. 


При принятии решения о выборе следующего хопа блок продвижения по меткам использу- 
ет таблицу коммутации, которая в стандарте МРТ $ носит название таблицы продвижения 
и похожа на аналогичные таблицы других технологий, основанных на технике виртуальных 
каналов (табл. 20.1). 
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[$Р4 [$РЗ |Р-сеть 


Рис. 20.2. МРЕ$-сеть 


Таблица 20.1. Пример таблицы продвижения в технологии МРІЅ 


Входной интерфейс Метка Следующий хоп Действия 


Внимательный читатель заметил, наверно, небольшое отличие данной таблицы от обоб- 
щенной таблицы коммутации, представленной на рис. 19.1. Действительно, вместо поля 
выходного интерфейса здесь поле следующего хопа, а вместо поля выходной метки — поле 
действий. В большинстве случаев обработки МРІ.5-кадров эти поля используются точно 
так же, как соответствующие им поля обобщенной таблицы коммутации. То есть значение 
поля следующего хопа является значением интерфейса, на который нужно передать кадр, 
а значение поля действий — новым значением метки. Но в некоторых случаях эти поля 
служат другим целям (см. далее). Рассматриваемые таблицы для каждого устройства 1.5 В. 
формируются сигнальным протоколом. В МРІ5 используется два различных сигнальных 
протокола: протокол распределения меток (ГаБе| ГРіѕігірийоп Ргоќосо!, ОР) и модифи- 
кация уже знакомого нам протокола резервирования ресурсов КУР. Формируя таблицы 
продвижения на устройствах [.5 К, сигнальный протокол прокладывает через сеть вирту- 


альные маршруты, которые в технологии МРТ.5 называют путями коммутации по меткам 
(Табе! Ѕуієсһіпр Раїһћ, 15Р). 


В том случае, когда метки устанавливаются в таблицах продвижения с помощью протокола 
ГОР, маршруты виртуальных путей [.5Р совпадают с маршрутами [Р-трафика, так как 
они выбираются обычными протоколами маршрутизации стека ТСР/1Р. Модификация 
протокола КЅУР, изначально разработанного для резервирования параметров Оо$ (см. 
раздел «Работа в недогруженном режиме» в главе 5), используется для прокладки путей, 
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выбранных в соответствии с техникой инжиниринга трафика, поэтому эта версия протоко- 
ла получили название КЅУР ТЕ (Тга#с Епріпеегіпе). Можно также формировать таблицы 
МРГ.$-продвижения вручную, создавая там статические записи, подобные статическим 
записям таблиц маршрутизации. 


Г.5Р представляет собой однонаправленный виртуальный канал, поэтому для передачи 
трафика между двумя устройствами ГЕК нужно установить, по крайней мере, два пути 
коммутации по меткам — по одному в каждом направлении. На рис. 20.2 показаны две 
пары путей коммутации по меткам, соединяющие устройства ЕК2 и ЕКЗ, а также [ЕК1 
и ЕКА. ГЕК выполняет такую важную функцию, как направление входного трафика 
в один из исходящих из ЕК путей Р. Для реализации этой функции в МРІ5 введено 
понятие класса эквивалентности продвижения (Еогуагаіпр Еашуаепсе С1аѕѕ, ЕЕС). 


Класс эквивалентности продвижения — это группа ІР-пакетов, имеющих одни и те же требования 
к условиям транспортировки (транспортному сервису). Все пакеты, принадлежащие к данному 
классу, продвигаются через МР! $-сеть по одному виртуальному пути ЕЗР 


Входящий пакет относят к тому или иному классу на основании некоторых признаков. 
Вот несколько примеров классификации: 


О На основании [Р-адреса назначения. Это наиболее близкий к принципам работы ІР- 
сетей подход, который состоит в том, что для каждого префикса сети назначения, име- 
ющегося в таблице 1.ЕВ-маршрутизации, создается отдельный класс ЕЕС. Протокол 
ГОР, который мы далее рассмотрим, полностью автоматизирует процесс создания 
классов ЕЕС по этому способу. 


О В соответствии с требованиями инжиниринга трафика. Классы выбираются таким 
образом, чтобы добиться баланса загрузки каналов сети. 


О В соответствии с требованиями УРМ. Для конкретной виртуальной частной сети кли- 
ента создается отдельный класс ЕЕС. 


О По типам приложения. Например, трафик ІР-телефонии (КТР) составляет один класс 
ЕЕС, а веб-трафик — другой. 

О По интерфейсу, с которого получен пакет. 

О По МАС-адресу назначения кадра, если это кадр Еегпеї. 


Как видно из примеров, при классификации трафика в МРІ5 могут использоваться при- 
знаки, не только взятые из заголовка ІР-пакета, но и многие другие, включая информацию 
канального (МАС-адрес) и физического (интерфейс) уровней. 


После принятия решения о принадлежности пакета к определенному классу ЕЕС его 
нужно связать с существующим путем 15Р. Для этой операции ГЕК использует таблицу 
ЕТМ (ЕЕС То Мех Бор — отображение класса ЕЕС на следующий хоп). Таблица 20.2 пред- 
ставляет собой пример ЕТМ. 


Таблица 20.2. Пример таблицы ЕТМ 


194.20.0.0/24; е 1 
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На основании таблицы ЕТМ каждому входящему пакету назначается соответствующая 
метка, после чего этот пакет становится неотличим в домене МРТГ.$ от других пакетов того 
же класса ЕЕС, все они продвигаются по одному и тому же пути внутри домена. У адми- 
нистратора сети имеется возможность формировать таблицы ЕЕС или же корректировать 
их, если они формируются автоматически. 


Сложная настройка и конфигурирование выполняются только в ЕК, а все промежуточ- 
ные устройства 1.5 К делают простую работу, продвигая пакет в соответствии с техникой 
виртуального канала. Выходное устройство ЕК удаляет метку и передает пакет в следую- 
щую сеть уже в стандартной форме ІР-пакета. Таким образом, технология МРТ.$ остается 
прозрачной для остальных ІР-сетей. 


Обычно в МРГ.$-сетях используется усовершенствованный по сравнению с описанным 
алгоритм обработки пакетов. Усовершенствование заключается в том, что удаление метки 
выполняет не последнее на пути устройство, а предпоследнее. Действительно, после того 
как предпоследнее устройство определит на основе значения метки следующий хоп, метка 
в МРГ.5-кадре уже не нужна, так как последнее устройство, то есть выходное устройство 
ГЕК, должно продвигать пакет на основе значения [Р-адреса. Это небольшое изменение 
алгоритма продвижения кадра позволяет сэкономить одну операцию над МРІ.5-кадром. 
В противном случае последнее вдоль пути устройство должно было бы удалить метку, а уже 
затем выполнить просмотр таблицы 1Р-маршрутизации. Эта техника получила название 
техники удаления метки на предпоследнем хопе (Репшїітаѓе Нор Рорріпе, РНР). 


Заголовок МРЕ$ и технологии канального уровня 


Заголовок МРТ.5 состоит из нескольких полей (рис. 20.3): 


О Метка (20 бит). Используется для выбора соответствующего пути коммутации по 
меткам. 


О Время жизни (ТТІ). Данное поле, занимающее 8 бит, дублирует аналогичное поле 
[Р-пакета. Это необходимо для того, чтобы устройства 1.5 К могли отбрасывать «за- 
блудившиеся» пакеты только на основании информации, содержащейся в заголовке 
МРТ, не обращаясь к заголовку ІР. 


О Класс услуги (С1аѕѕ оЁ Ѕегуісе, Со). Поле Со$, занимающее З бита, первоначально было 
зарезервировано для развития технологии, но в последнее время используется в основ- 
ном для указания класса трафика, требующего определенного уровня Оо5. 


О Признак дна стека меток. Этот признак (5) занимает 1 бит. 


Концепцию стека меток мы изучим в следующем разделе, а пока для пояснения механизма 
взаимодействия МРІ5 с технологиями канального уровня рассмотрим ситуацию, когда 
заголовок МРІ.5 включает только одну метку. В кадрах канального уровня заголовок 
МРГ.5 помещается между оригинальным заголовком и заголовком пакета 3-го уровня. На 
рис. 20.3 этот способ размещения метки показан для кадров РРР и Ећегпе. Стандарты 
МРГ.$ определяют также способ размещения метки в кадрах Егате Ке]ау и ячейках АТМ. 
Поскольку заголовок МРГ.$ помещается между заголовком канального уровня и заголов- 
ком ІР, его называют заголовком-вставкой (ѕћіт һеайег). 


Продвижение кадра в МРГ.-сети происходит на основе метки МРІ.5 и техники 15р а не 
на основе адресной информации и техники той технологии, формат кадра которой МРГ$ 
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Рис. 20.3. Форматы заголовков нескольких разновидностей технологии МРИ$ 


РРР 


Еіһегпеї 


использует. Таким образом, если в МРТ.$ применяется кадр Еегпеѓ, то МАС-адреса ис- 
точника и приемника, хотя и присутствуют в соответствующих полях кадра Есћегпеѓ, для 
продвижения кадров в соединениях Ећегпеѓ с двухточечной топологией не используются. 
Исключение — случай, когда между двумя соседними устройствами 1.5 К находится сеть 
коммутаторов Ефегпе: МАС-адрес назначения МРГ.5-кадра потребуется для того, чтобы 
кадр дошел до следующего устройства [.5К, а уже оно будет продвигать его на основании 
метки. Нахождение МАС-адреса следующего 15К будет в этом случае выполнено стандарт- 
ным способом с помощью протокола АВР по [Р-адресу 1.5 К. Далее для определенности 
при рассмотрении примеров подразумевается использование формата кадров МРГ$/РРР. 


Стек меток 


Наличие стека меток является одним из оригинальных свойств МРІ5. Стек меток позво- 
ляет создавать систему агрегированных путей 15Р с любым количеством уровней иерар- 
хии. Для поддержания этой функции МРГ.З-кадр, который перемещается вдоль иерархи- 
чески организованного пути, должен включать столько заголовков МРІ.5, сколько уровней 
иерархии имеет путь. Напомним, что заголовок МРІ.5 каждого уровня имеет собственный 
набор полей: метка, Со$, ТТІ. и $. Последовательность заголовков организована как стек, 
так что всегда имеется метка, находящаяся на вершине стека, и метка, находящаяся на дне 
стека, при этом последняя сопровождается признаком 5 = 1. Над метками выполняются 
следующие операции, задаваемые в поле действий таблицы продвижения: 


Ч Риѕй — поместить метку в стек. В случае пустого стека эта операция означает простое 
присвоение метки пакету. Если же в стеке уже имеются метки, то в результате этой 
операции новая метка сдвигает «старые» вглубь стека, сама оказываясь на вершине. 


О 5шар — заменить текущую метку новой. 


ЧО Рор — выталкивание (удаление) верхней метки, в результате чего все остальные метки 
стека поднимаются на один уровень. 


Продвижение МРІ.5-кадра всегда происходит на основе метки, находящейся в данный 
момент на вершине стека. Иерархия меток чаще всего находит свое применение в сетях, 
разделенных на несколько доменов. Внутри домена продвижение пакетов происходит на 
основе меток одного из уровней стека, а между доменами — на основе меток другого уров- 
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ня. Такой подход позволяет независимо организовать внутридоменную и междоменную 
маршрутизацию пакетов, что во многих случаях оказывается полезным. Здесь можно про- 
вести аналогию с использованием МАС-адресов для передачи пакетов внутри [Р-подсети 
и [Р-адресов для передачи пакетов между [Р-подсетями. Стек меток также оказывается 
полезным при организации сервиса УРМ (соответствующие примеры см. в главе 22). Рас- 
смотрим работу двух уровней иерархии меток на примере сети, изображенной на рис. 20.4. 


Сеть состоит из трех МРГ.З$-доменов. На рисунке показаны путь 5Р1 в домене 1 и путь 
5Р2 в домене 2. [.5Р1 соединяет устройства ЕК1 и ІЕК2, проходя через устройства 
1.5В1, 1.5 К2 и 1.5 КЗ. Пусть начальной меткой пути 5Р1 является метка 256, которая была 
присвоена пакету пограничным устройством ГЕК1. 


МРЕ$З-домен 1 


Есе УЫ. 
ЕК1 е, е "Ры, 
С-ы 256 
_ЅВ1 
ЗАТ 272 | св? А 
9 132 
ы Ка ре» $63 ) 
| били МРЕЗ$-домен З 
„295 < 1ЕВ2 
ара = ВЕАБ 
е к - —— { Мм. 
| ия \ 
=== | ( | 
ла ‚ ЕР ре —68- | 
ао ГЕВб 
586, 101 `` бы. 
2 .585 112 ) | СЕВЗ 


„о `` 15$Р1  МРЕЗ-домен2 


бе. 6": 
Рис. 20.4. Пути 5Р1 и Е$Р2, проложенные в доменах 1 и 2 МРЕ$-сети 


На основании этой метки пакет поступает на устройство 1.5 К1, которое по своей таблице 
продвижения определяет новое значение метки пакета (272) и переправляет его на вход 
[5 К2. Устройство [.5К2, действуя аналогично, присваивает пакету новое значение метки 
(132) и передает его на вход 5К3. Устройство 1.5 ВЗ, будучи предпоследним устройством 
в пути 5Р1, выполняет операцию Рор и удаляет метку из стека. Устройство ГЕК2 про- 
двигает пакет уже на основании [Р-адреса. На рисунке также показан путь [.5Р2 в домене 2. 
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Он соединяет устройства ЕКЗ и ЕКА, проходя через устройства [.5К4, 15К5 и [5 Кб, 
и определяется последовательностью меток 188, 112, 101. Для того чтобы ІР-пакеты могли 
передаваться на основе техники МРІ5 не только внутри каждого домена, но и между до- 
менами (например, между устройствами Г.ЕК1 и ТЕКА), существуют два принципиально 
разных решения. 


О Первое решение состоит в том, что между ЕК1 и ТЕКА устанавливается один одноуров- 
невый путь коммутации по меткам, соединяющий пути [.5Р1 и 5Р2 (которые в этом 
случае становятся одним путем). Это простое, на первый взгляд, решение, называемое 
сшиванием путей 1.5Р, плохо работает в том случае, когда МРІ.5-домены принадлежат 
разным поставщикам услуг, не позволяя им действовать независимо друг от друга, так 
как путь должен быть установлен «из конца в конец» одним из сигнальных протоколов 
(мы их рассмотрим далее, сейчас детали их работы нам не важны). 


О Вторым, более перспективным решением является применение многоуровневого подхода 
к соединению двух МРІ.5-доменов, принадлежащих, возможно, разным поставщикам 
услуг. 

Для реализации второго подхода в нашем примере нужно создать путь коммутации по мет- 

кам второго уровня (1.5Р3З), соединяющий устройства Г.ЕК1 и ГЕКА. Этот путь определяет 

последовательность хопов между доменами, а не между внутренними устройствами 1.5 К. 


МРЕ$-домен 1 


а 


[315 [ЧР 


[188 [317] ІР _ 


ее 2 


МРЕЗ-домен 2 


Рис. 20.5. Использование стека меток в иерархии путей 
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каждого домена. Так, .5РЗ состоит из хопов [ЕВ1-Г.ЕК2-Г.ЕКЗ-[.$ ВА. В этом отношении 
многоуровневый подход МРГ.$ концептуально близок подходу протокола ВСР определя- 
ющего путь между автономными системами. 


Рассмотрим более детально, как работает технология МРІ.5 в случае путей коммутации 
по меткам двух уровней (рис. 20.5). 


В устройстве [ЕВ] начинаются два пути — 5Р1 и Г.5РЗ (последний показан на рисунке 


серым цветом), что обеспечивается соответствующей записью в таблице продвижения 
устройства ЕКІ (табл. 20.3). 


Таблица 20.3. Запись в таблице продвижения ЕВ 


ІР-пакеты, поступающие на интерфейс 50 устройства ЕК1, продвигаются на его выходной 
интерфейс 51, где для них создается заголовок МРІ.5, включающий метку 315 верхнего 
уровня (5Р3), которая на этот момент является верхушкой стека меток. Затем эта метка 
проталкивается на дно стека (операция Ри5й), а верхней становится метка 256, относящаяся 
к [.5Р1. Далее МРІ.5-кадр с меткой 256 поступает на выходной интерфейс 51 погранич- 
ного устройства ЕК1 и передается на вход 1.5 К1. Устройство 15Кі обрабатывает кадр 
в соответствии со своей таблицей продвижения (табл. 20.4). Метка 256, находящаяся на 
вершине стека, заменяется меткой 272 (метка 315, находящаяся ниже в стеке, устройством 
[581 игнорируется). 


Таблица 20.4. Запись в таблице продвижения 1$В1 


Аналогичные действия выполняет устройство 5К2, которое заменяет метку меткой 132 
и отправляет кадр следующему по пути устройству 1.5 ВЗ (табл. 20.5). 


Таблица 20.5. Запись в таблице продвижения 583 


У О СО СИ 
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Работа устройства 1.5 ЁЗ несколько отличается от работы устройств 1.5 К1 и 1502, так как 
оно является предпоследним устройством К для пути 5Р1. В соответствии с записью 
в табл. 20.5 устройство .5КЗ выполняет выталкивание (Рор) из стека метки 132, относя- 
щейся к пути [.5Р1, выполняя операцию РНР. В результате верхней меткой стека стано- 
вится метка 315, принадлежащая пути .5РЗ. Устройство ЕК2 продвигает поступивший на 
его входной интерфейс $0 кадр на основе своей записи таблицы продвижения (табл. 20.6). 
Устройство ЕКЗ сначала заменяет метку 315 пути 5РЗ значением 317, затем протал- 
кивает ее на дно стека и помещает на вершину стека метку 188, которая является меткой 
пути 15Р2, внутреннего для домена 2. Перемещение кадра вдоль пути 5Р2 происходит 


аналогичным образом. 


Таблица 20.6. Запись в таблице продвижения ЕВЗ 


Подчеркнем: значение метки междоменного пути Г.5Р3З на границе между доменами не 
зависит от значений меток, используемых для внутридоменных путей 5Р1 и 15Р2. Это 
позволяет операторам доменов изменять значения меток внутридоменных путей незави- 
симо друг от друга, например, прокладывая внутридоменные пути по другим маршрутам 
(а это неизбежно приведет к переназначению меток в каждом из устройств 15КЕ и ГЕК). 
Важно, что при этом значение междоменной метки при передаче пакета между устройства- 
ми ГЕК доменов не меняется, поэтому пакет правильно обрабатывается принимающим 
устройством ЕК. Например, [ЕКЗ получит пакет от Г.Е Кб со значением метки 317 неза- 
висимо от того, какое значение имела метка внутридоменного пути 5Р1. При «сшивании» 
одноуровневых устройств 1.5Р такой независимости доменов добиться нельзя. Описанная 
модель двухуровневого пути легко может быть расширена для любого количества уровней. 


Протокол ГОР 


Протокол распределения меток (Г.аБе! О15иийоп Ргофосо|, ГОР) позволяет автома- 
тически создавать в сети пути І.Р в соответствии с существующими в таблицах марш- 
рутизации записями о маршрутах в [Р-сети. Протокол Г.ОР является сигнальным про- 
токолом сетей МРГ$, принимая во внимание только те записи таблицы маршрутизации, 
которые созданы с помощью внутренних протоколов маршрутизации, то есть протоколов 
типа ІСР, поэтому режим автоматического создания 5Р с помощью протокола ГОР 
иногда называют режимом МРЕ.$ [СР (в отличие от режима МРТ. ТЕ, когда маршру- 
ты выбираются из соображений инжиниринга трафика и не совпадают с маршрутами, 


выбранными внутренними протоколами маршрутизации). Спецификация Г.ОР дана 
в документе КЕС 5036. 


Рассмотрим работу протокола Г.ОР на примере сети, изображенной на рис. 20.6. 
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хоп 
132.100.0.0 5К2 
105.0.0.0 $84 а 
] 
е 12100020 
192.201.103.0 | 1584 м” ) 


С 105.0.0.0 192.201.103.0 


Рис. 20.6. МРЕЗ-сеть с устройствами (ЗВ, поддерживающими ЕГОР 


Все устройства 1.5 К сети поддерживают сигнальный протокол І.Р. От устройства [.5К1 
в сети уже установлен один путь 1.5Р1 — по этому пути идет трафик к сетям 105.0.0.0 
и 192.201.103.0. Это значит, что таблица ЕТМ (отображающая сети назначения на устрой- 
ства 15Р) у І5К1 соответствует табл. 20.7. 


Таблица 20.7. Таблица ЕТМ устройства ($81 


Метка 231 в этой таблице соответствует пути 1.$Р1. Рассмотрим функционирование про- 
токола [ОР в ситуации, когда в результате работы протоколов маршрутизации или же 
после ручной модификации администратором сети в таблице маршрутизации устройства 
[.5В1 появилась запись о новой сети назначения, для которой в сети поставщика услуг 
еще не проложен путь коммутации по меткам. В нашем случае это сеть 132.100.0.0 (она 
закрашена в таблице маршрутизации 5К1) и для нее нет записи в таблице ЕТМ. В этом 
случае устройство [.5К1 автоматически инициирует процедуру прокладки нового пути. 
Для этого оно запрашивает по протоколу ЮР метку для новой сети 132.100.0.0 у марш- 
рутизатора, 1Р-адрес которого в таблице маршрутизации указан для данной сети как адрес 
следующего хопа. 


Но для того чтобы воспользоваться протоколом 1.ОР; нужно сначала установить между 
устройствами 1.5 К сеанс Г.ОР, так как этот протокол работает в режиме установления 
соединений. Сеансы ЮР устанавливаются между соседними маршрутизаторами автома- 
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тически. Для этого каждое устройство [.5К, на котором развернут протокол РР, начинает 
посылать своим соседям сообщения Нео. Эти сообщения посылаются по групповому 
[Р-адресу 224.0.0.2, который является адресом всех маршрутизаторов подсети. Если со- 
седний маршрутизатор также поддерживает протокол Г.Р то он в ответ устанавливает 
сеанс ТСР через порт 646 (этот порт закреплен за протоколом 1.ОР). В результате обмена 
сообщениями Нео все поддерживающие протокол Г.ОР устройства 1.5 К обнаруживают 
своих соседей и устанавливают с ними сеансы, как показано на рис. 20.7 (для простоты на 
рисунке представлены не все сеансы Г.ОР, существующие в сети). 


хоп 


105.0.0.0 15864 гок 
132.100.0.0 
192.201.103.0 | 1584 | ј 


Сессии [ОР 


я 
105.0.0.0 ‚ 192.201.103.0 
Е = 


Рис. 20.7. Сеансы (ОР устанавливаются между непосредственными соседями 


Будем считать, что между устройствами [.5К1 и 15К2 установлен сеанс РР. Тогда при 
обнаружении новой записи в таблице маршрутизации, указывающей на устройство [.5К2 
в качестве следующего хопа, устройство [.5К1 просит устройство 1.5 К2 назначить метку 
для нового пути к сети 132.100.0.0. Говорят, что устройство [.5К2 находится ниже по потоку 
(аоупѕігеат) относительно устройства [.5В1 на пути к сети 132.100.0.0. Соответственно, 
устройство [.5К1 расположено выше по потоку для устройства 5 К2 относительно сети 
132.100.0.0. Естественно, что для других сетей назначения у устройства 5К1 имеются 
другие соседи вниз по потоку, а у устройства 1.5К.2 — другие соседи вверх по потоку. 


Причина, по которой значение метки для нового пути выбирается соседом ниже по пото- 
ку, понятна — эта метка, которая имеет локальное значение на двухточечном соединении 
между соседними устройствами, будет использоваться именно этим устройством для того, 
чтобы понимать, к какому пути [.5Р относится пришедший МРГ$-кадр. Поэтому устрой- 
ство ниже по потоку выбирает уникальное значение метки, исходя из неиспользованных 
значений меток для своего интерфейса, который связывает его с соседом выше по потоку. 
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Для получения значения метки устройство [.5К1 выполняет несложный по формату запрос 
метки протокола [.ОР (рис. 20.8). 


Идентификатор сообщения 
Элемент РЕС 


Рис. 20.8. Формат І0ОР-запроса метки 


Идентификатор сообщения требуется для того, чтобы при получении ответа можно было 
однозначно сопоставить ответ некоторому запросу (устройство может послать несколько 
запросов до получения ответов на каждый из них). В нашем примере в качестве элемента 
ЕЕС указан адрес 132.100.0.0. Устройство 1.5 К2, приняв запрос, находит, что у него также 
нет проложенного пути к сети 132.100.0.0, и поэтому передает .0Р-запрос следующему 
устройству 1.5 К, адрес которого указан в его таблице маршрутизации в качестве следу- 
ющего хопа для сети 132.100.0.0. В примере, показанном на рис. 20.7, таким устройством 
является .5КЗ, на котором путь коммутации по меткам должен закончиться, так как сле- 
дующий хоп ведет за пределы МРГЗ-сети данного оператора. 


ПРИМЕЧАНИЕ 


Возникает вопрос: как устройство 1.5 КЗ узнает о том, что является последним в сети поставщика 
услуг на пути к сети 132.100.0.0? Дело в том, что сеансы Г.ОР устанавливаются только между устрой- 
ствами одного поставщика услуг, поэтому отсутствие сеанса Г.ОР со следующим хопом маршрута 
и говорит устройству .5К, что оно является последним в своем домене для данного пути [.5Р. 


Устройство [.5ВЗ, обнаружив, что для пути к сети 132.100.0.0 оно является пограничным, 
назначает для прокладываемого пути метку, еще не занятую его входным интерфейсом 
50, и сообщает об этой метке устройству [.$К2 в Г.ОР-сообщении, формат которого пред- 
ставлен на рис. 20.9. Пусть это будет метка 231. 


Отображение метки (0х0400) 


Рис. 20.9. Формат отображения метки на элемент РЕС протокола (ОР 


В свою очередь, устройство 15 К2 назначает неиспользуемую его интерфейсом 50 метку 
и сообщает об этом в .ОР-сообщении отображения метки устройству 5К1. После этого 
новый путь коммутации по меткам от 5КЇ к сети 132.100.0.0 считается проложенным 
(рис. 20.10) — вдоль него пакеты начинают передаваться уже на основе меток и таблиц 
продвижения, а не [Р-адресов и таблиц маршрутизации. 


642 Часть У. Глобальные компьютерные сети 


хоп 


5859 


105.0.0.0 192.201.103.0 


Рис. 20.10. Новый путь 5Р2 


Было бы нерационально прокладывать отдельный путь для каждой сети назначения каждо- 
го маршрутизатора, и устройства 5К стараются строить агрегированные пути коммутации 
по меткам и передавать вдоль них пакеты, следующие к некоторому набору сетей. Так, на 
рис. 20.10 устройство [.5К1 передает по пути 5Р2 пакеты, следующие не только к сети 
132.100.0.0, но и к сетям 194.15.17.0 и 201.25.10.0, информация о которых появилась уже 
после того, как путь .5Р2 был проложен. 


Мы рассмотрели только один режим работы протокола ОР, носящий длинное название 
«Упорядоченный режим управления распределением меток с запросом устройства вниз 
по потоку». Здесь под упорядоченным режимом понимается такой режим, когда некоторое 
промежуточное устройство 5К не передает метку для нового пути устройству [1.5 К, лежа- 
щему выше по потоку, до тех пор пока не получит метку для этого пути от устройства 5К, 
лежащего ниже по потоку. В нашем случае устройство [.5К2 ждало получения метки от [.5 КЗ 
и уже потом передало метку устройству 1.5К1. Но существует и другой режим управления 
распределением меток, который называется независимым. При независимом управлении рас- 
пределением меток 1.5 К может назначить и передать метку, не дожидаясь прихода сообщения 
от своего соседа, лежащего ниже по потоку. Например, устройство 1.5 К2 могло бы назначить 
и передать метку 199 устройству 15КЇ1, не дожидаясь прихода метки 231 от устройства 5КЗ. 
Поскольку метки имеют локальное значение, результат изменения режима сохранился бы. 


Существуют также два метода распределения меток — распределение по запросу от лежащего 
ниже по потоку устройства и распределение без запроса. Для нашего случая это значит, что 
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если бы устройство 1.5 К2 обнаружило в своей таблице маршрутизации запись о новой сети 
132.100.0.0, оно могло бы назначить метку новому пути и передать ее устройству 1561 без 
запроса. Поскольку при этом устройство [.5К2 не знает своего соседа выше по потоку (табли- 
ца маршрутизации не говорит об этом), оно передает эту информацию всем своим соседям 
по сеансам Г.ОР. В этом варианте работы протокола ГОР устройства 1.5 К могут получать 
альтернативные метки для пути к некоторой сети; выбор наилучшего пути осуществляется 
обычным для ІР-маршрутизатров (которыми устройства 5К являются по совместитель- 
ству) способом — на основании наилучшей метрики, выбираемой протоколом маршрутиза- 
ции. Как видно из описания, существует два независимых параметра, определяющих вариант 
работы протокола Г.ОР: режим управления распределением меток и метод распределения 
меток. Каждый параметр имеет два значения — значит, всего существует четыре режима 
работы протокола Г.ОР. Протокол Г.ОР чаще всего функционирует в режиме независимого 
управления распределением меток без запроса. Упорядоченное управление распределением 
меток требуется при прокладке путей Г.$Р, необходимых для инжиниринга трафика. 


Инжиниринг трафика в МРЕ$ 


Технология МРІ.5 поддерживает технику инжиниринга трафика, описанную в главе 6. 
В этом случае используются модифицированные протоколы сигнализации и маршрутиза- 
ции, имеющие приставку ТЕ (Тгаћс Епетеегте — инжиниринг трафика). В целом такой 
вариант МРІ5 получил название МРІ5 ТЕ. 


В технологии МРІ5 ТЕ пути 15Р называют ТЕ-туннелями. ТЕ-туннели не прокладыва- 
ются распределенным способом вдоль путей, находимых обычными протоколами марш- 
рутизации независимо в каждом отдельном устройстве 5К. Вместо этого ТЕ-туннели 
прокладываются в соответствии с техникой маршрутизации от источника, когда централи- 
зованно задаются промежуточные узлы маршрута. В этом отношении ТЕ-туннели подобны 
постоянным виртуальным каналам технологий АТМ и Егате Ке]ау. Инициатором задания 
маршрута для ТЕ-туннеля выступает начальный узел туннеля, а рассчитываться маршрут 
может начальным узлом либо внешней по отношению к сети программной системой или 
администратором. МРІ5 ТЕ поддерживает туннели двух типов (рис. 20.11): 


О строгий ТЕ-туннель, который определяет все промежуточные узлы между двумя по- 
граничным устройствами; 


О свободный ТЕ-туннель, который определяет только часть промежуточных узлов от 
одного пограничного устройства до другого, а остальные промежуточные узлы выби- 
раются устройством [.5К. самостоятельно. 


Туннель 1 является примером строгого туннеля, при его задании внешняя система (или 
администратор сети) указала как начальный и конечный узлы туннеля, так и все проме- 
жуточные узлы, то есть последовательность ІР-адресов для устройств ЕК1, 15К1, [5 К2, 
1.563, 1.5 КА, ЕКЗ. Таким образом, внешняя система решила задачу инжиниринга трафика, 
выбрав путь с достаточной неиспользуемой пропускной способностью. При установле- 
нии туннеля 1 задается не только последовательность [.5К, но и требуемая пропускная 
способность пути. Несмотря на то что выбор пути происходит в автономном режиме, все 
устройства сети вдоль туннеля 1 проверяют, действительно ли они обладают запрошенной 
неиспользуемой пропускной способностью, и только в случае положительного ответа 
туннель прокладывается. 
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МРЕ$-домен 


Рис. 20.11. Два типа ТЕ-туннелей в технологии МРІЅ 


При прокладке туннеля 2 (свободного) администратор задает только начальный и конеч- 
ный узлы туннеля, то есть устройства ЕК5 и ГЕК2. Промежуточные устройства [.5К4 
и [.5К2 находятся автоматически начальным узлом туннеля 2, то есть устройством ЕК5, 
а затем с помощью сигнального протокола устройство ЕК5 сообщает этим и конечному 
устройствам о необходимости прокладки туннеля. 


Независимо от типа туннеля он всегда обладает таким параметром, как резервируе- 
мая пропускная способность. В нашем примере туннель 1 резервирует для трафика 
10 Мбит/с, а туннель 2 — 36 Мбит/с. Эти значения определяются администратором, 
и технология МРТ.$ ТЕ никак не влияет на их выбор, она только реализует запрошен- 
ное резервирование. Чаще всего администратор оценивает резервируемую для туннеля 
пропускную способность на основании измерений трафика в сети, тенденций изменения 
трафика, а также собственной интуиции. Некоторые реализации МРІ.5 ТЕ позволяют 
затем автоматически корректировать величину зарезервированной пропускной способ- 
ности на основании автоматических измерений реальной интенсивности трафика, про- 
ходящего через туннель. 


Однако сама по себе прокладка в МРІ.5-сети ТЕ-туннеля еще не означает передачи по 
нему трафика. Она означает только то, что в сети действительно существует возможность 
передачи трафика по туннелю со средней скоростью, не превышающей зарезервиро- 
ванное значение. Для того чтобы данные были переданы по туннелю, администратору 
предстоит еще одна ручная процедура — задание для начального устройства туннеля ус- 
ловий, определяющих, какие именно пакеты должны передаваться по туннелю. Условия 
могут быть чрезвычайно разнообразными — так, в качестве признаков агрегированного 
потока, который должен передаваться по туннелю, могут выступать все традиционные 
признаки: [Р-адрес назначения и источника, тип протокола, номера ТСР-и ООР-портов, 
номер интерфейса входящего трафика, значения приоритета в протоколах ОЗСР и ІР 
ИТ. Д. 


Таким образом, устройство ЕК должно сначала провести классификацию трафика, затем 
выполнить профилирование, удостоверившись, что средняя скорость потока не превышает 
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зарезервированную, и, наконец, начать маркировать пакеты, используя начальную метку 
ТЕ-туннеля, чтобы передавать трафик через сеть с помощью техники МРГ5. В этом слу- 
чае расчеты, выполненные на этапе выбора пути для туннеля, дадут нужный результат — 
баланс ресурсов сети при соблюдении средней скорости для каждого потока. 


Однако мы еще не рассмотрели специфический набор протоколов, которые устройства 
ГЕК и Г.$К сети используют для прокладки свободных туннелей или проверки рабо- 
тоспособности созданных администратором строгих туннелей. Для выбора и проверки 
путей через туннели в технологи МРІ5 ТЕ используются расширения протоколов марш- 
рутизации, работающих на основе алгоритма состояния связей. Сегодня такие расшире- 
ния стандартизованы для протоколов ОЗРЕи 15-15. Для решения задачи ТЕ в протоколы 
ОЅРЕ и 18-15 включены новые типы объявлений, обеспечивающие распространение по 
сети информации о номинальной и незарезервированной (доступной для ТЕ-потоков) 
величинах пропускной способности каждой связи. Таким образом, ребра результирую- 
щего графа сети, создаваемого в топологической базе каждого устройства ГЕК или 15К, 
маркируются этими двумя дополнительными параметрами. Располагая таким графом 
и параметрами потоков, для которых нужно определить ТЕ-пути, устройство ГЕК может 
найти рациональное решение, удовлетворяющее одному из сформулированных в главе 6 
ограничений на использование ресурсов сети. Чаще всего решение ищется по наиболее 
простому критерию, состоящему в минимизации максимального значения коэффициента 
использования вдоль выбранного пути, то есть критерием оптимизации пути является 
значение тіп (тах К;) для всех возможных путей. В общем случае администратору 
необходимо проложить несколько туннелей для различных агрегированных потоков. 
С целью упрощения задачи оптимизации выбор путей для этих туннелей обычно осу- 
ществляется по очереди, причем администратор определяет очередность на основе своей 
интуиции. Очевидно, что поиск ТЕ-путей по очереди снижает качество решения — при 
одновременном рассмотрении всех потоков в принципе можно было бы добиваться более 
рациональной загрузки ресурсов. 


Пример 


В примере, показанном на рис. 20.12, ограничением является максимально допустимое 
значение коэффициента использования ресурсов, равное 0,65. В варианте 1 решение было 
найдено при очередности рассмотрения потоков 1, 2, 3. Для первого потока был выбран путь 
А-В-С, так как в этом случае он, с одной стороны, удовлетворяет ограничению (все ресурсы 
вдоль пути — каналы А-В, А-С и соответствующие интерфейсы маршрутизаторов — оказы- 
ваются загруженными на 50/155 = 0,32), а с другой — обладает минимальной метрикой (65 + 
+ 65 = 130). Для второго потока также был выбран путь А-В-С, так как и в этом случае ограни- 
чение удовлетворяется — результирующий коэффициент использования оказывается равным 
50 + 40/155 = 0,58. Третий поток направляется по пути А-0-Е-С и загружает ресурсы каналов 
А-О, О-Еи Е-С на 0,3. Решение 1 можно назвать удовлетворительным, так как коэффициент 
использования любого ресурса в сети не превышает 0,58. 


Однако существует лучший способ, представленный в варианте 2. Здесь потоки 2 и 3 были 
направлены по верхнему пути А-В-С, а поток 1 — по нижнему пути А-О-Е-С. Ресурсы верхнего 
пути оказываются загруженными на 0,45, а нижнего — на 0,5, то есть налицо более равно- 
мерная загрузка ресурсов, а максимальный коэффициент использования всех ресурсов сети 
не превышает 0,5. Этот вариант может быть получен при одновременном рассмотрении всех 
трех потоков с учетом ограничения тіп (тах Кі) или же при рассмотрении потоков по очереди 
в последовательности 2, З, 1. 
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М = 65 ре М = 65 
В = 155/100 $. В = 155/100 


М = 65 


М = 100 
В = 100/165 


Вариант 1: 1—3-»›2 Вариант 2: 2-3-1 
К тах = 0,58 К тах = 0,5 


Рис. 20.12. Зависимость качества решения задачи ТЕ от очередности выбора туннелей 


Несмотря на неоптимальность решения, в производимом сегодня оборудовании применя- 
ется вариант технологии МРТ.$ ТЕ с последовательным рассмотрением потоков. Он проще 
в реализации и ближе к стандартным для протоколов ОЗРЕ и 18-15 процедурам нахожде- 
ния кратчайшего пути для одной сети назначения (в отсутствие ограничений найденное 
решение для набора кратчайших путей не зависит от последовательности учета сетей, для 
которых производился поиск). Кроме того, при изменении ситуации — появлении новых 
потоков или изменении интенсивности существующих — найти путь удается только для 
одного потока. Возможен также подход, в котором внешняя по отношению к сети вычис- 
лительная система, работающая в автономном режиме, определяет оптимальное решение 
для набора потоков. Это может быть достаточно сложная система, которая включает подси- 
стему имитационного моделирования, способную учесть не только средние интенсивности 
потоков, но и их пульсации, и оценить не только загрузку ресурсов, но и результирующие 
параметры Оо5 — задержки, потери и т. п. После нахождения оптимального решения его 
можно модифицировать уже в оперативном режиме поочередного поиска путей. 


В технологии МРЕЗ ТЕ информация о найденном рациональном пути используется полностью — 
то есть запоминаются {Р-адреса источника, всех транзитных маршрутизаторов и конечного узла. 
Поэтому достаточно, чтобы поиском путей занимались только пограничные устройства сети 
(ЕА), а промежуточные устройства (_5В) лишь поставляли им информацию о текущем состоянии 
резервирования пропускной способности каналов. 


После нахождения пути (независимо от того, найден он был устройством ЕК или адми- 
нистратором) его необходимо зафиксировать. Для этого в МРІ5 ТЕ используется уже 
упомянутое расширение протокола резервирования ресурсов (КУР), который часто в 
этом случае называют протоколом КЅУР ТЕ. Сообщения КЅУР ТЕ передаются от одного 
устройства 1.5 К. другому в соответствии с данными о найденных [Р-адресах маршрута. 
При установлении нового пути в сигнальном сообщении наряду с последовательностью 


Глава 20. Технология МРІ5 647 


адресов пути указывается также резервируемая пропускная способность. Каждое устрой- 
ство .5К, получив такое сообщение, вычитает запрашиваемую пропускную способность 
из пула свободной пропускной способности соответствующего интерфейса, а затем объ- 
являет остаток в сообщениях протокола маршрутизации, например СЅРЕ 


В заключение рассмотрим вопрос отношения технологий МРІ5 ТЕ и Оо5. Как видно из 
описания, основной задачей МРГЗ ТЕ является использование возможностей технологии 
МРГ$ для достижения внутренней цели поставщика услуг, а именно — сбалансированной 
загрузки всех ресурсов своей сети. Однако при этом также создается основа для предо- 
ставления транспортных услуг с гарантированными параметрами Оо, так как трафик 
по ТЕ-туннелям передается при соблюдении некоторого максимального коэффициента 
использования ресурсов. Напомним, коэффициент использования ресурсов оказывает 
решающее влияние на процесс образования очереди (см. главу 5), так что потоки, пере- 
даваемые по ТЕ-туннелям, передаются с некоторым гарантированным уровнем Оо5. 


Чтобы обеспечить разные параметры Оо5 для разных классов трафика, поставщику услуг 
необходимо для каждого класса трафика установить в сети отдельную систему туннелей. 
При этом для классов чувствительного к задержкам трафика требуется выполнить резер- 
вирование таким образом, чтобы максимальный коэффициент использования ресурсов 
туннеля находился в диапазоне 0,2-0,3, иначе задержки пакетов и их вариации выйдут за 
допустимые пределы. 


Мониторинг состояния путей ЕЗР 


Наличие встроенных в транспортную технологию средств мониторинга состояния соеди- 
нений и локализации ошибок (то есть средств ОАМ) является необходимым условием для 
того, чтобы она претендовала на статус технологии операторского класса. В противном 
случае ее трудно будет использовать операторам сетей, которым нужно обеспечивать своих 
многочисленных клиентов транспортным сервисом с высоким коэффициентом готовности 
(в пределах 0,999-0,99999), как это принято в телекоммуникационных сетях. 


Первоначально технология МРІ.5 не имела подобных встроенных средств, полагаясь 
на такие средства стека ТСР/ТР, как утилиты р!пб и {гасегоще, использующие [СМР- 
сообщения Есйо Кедиез (эхо-запрос) Есйо Веріу (эхо-ответ). Но классические утилиты 
ріпе и {гасегоще стека ТСР/ТР не дают корректной информации о состоянии путей 5Р — 
они могут переноситься как вдоль, так и в обход этих путей с помощью обычной техники 
продвижения пакетов протокола ІР. Поэтому был разработан специальный протокол 18Р 
Ріпа, позволяющий тестировать работоспособность 15Р (режим ріл) и локализовывать 
отказы (режим ѓғасетоиѓе). Кроме того, для мониторинга состояния 5Р можно применять 
более экономичный, чем [.5Р Ріпе, протокол двунаправленного обнаружения ошибок про- 
движения (см. далее). 


Тестирование путей ЕЗР 


В протоколе 85Р Рё для тестирования состояния 1.5Р применяется техника, близкая 
к механизму работы утилиты ріпе протокола ІР. Она заключается в том, что протокол 
[.5Р Ріпр отправляет вдоль тестируемого пути 85Р сообщение Есйо Ведиеѕі. Если такое 
сообщение доходит до устройства ЕК, которое является конечным узлом тестируемого 
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пути Г.Р, оно отвечает сообщением Ёсйо Кер/у. Получение исходным узлом такого сообще- 
ния означает, что путь [.5Р работоспособен. Описанная схема работы аналогична схеме 
работы утилиты ріпа протокола ІР, однако имеет свои особенности, которые мы поясним 
на примере сети, изображенной на рис. 20.13. 


Метка= 
105 


105.0.0.0 


Рис. 20.13. Тестирование Е$Р с помощью протокола Е$ЗР Ріпо 


В этом примере устройство Г.5В1 тестирует состояние пути 5Р1, который заканчивается 
на устройстве 1.5 В8 (для этого пути оно является устройством ГЕК). 


Для тестирования пути 5Р1 устройство [.5К1 отправляет МРГ.$ -пакет с меткой 105 — эта 
метка соответствует пути 1.$Р1 на линии между устройствами 15К1 и 1.5 КА. Сообщение 
Есро Кедиеѕі вкладывается в ООР-сообщение, которое, в свою очередь, вкладывается в ІР- 
пакет. На рисунке показаны только значимые для изучения протокола [.5Р Ріпе поля: 
метка МРІ.5-кадра, ІР-адрес источника (ЗА), ІР-адрес назначения (ОА), а также поле 
ЕЕС, которое идентифицирует тестируемый путь 15Р. В нашем примере это ІР-адрес сети 
105.0.0.0, к которой ведет путь [.5Р1. 


Адрес назначения в ІР-пакете, который переносит сообщение Есйо Кедие5, равен 127.0.0.1, то 
есть является адресом обратной петли стека протоколов ІР каждого узла. О причине исполь- 
зования такого необычного адреса назначения (а не, скажем, ІР-адреса интерфейса конечного 
узла тестируемого пути ІР) мы расскажем позже, а пока заметим, что адрес 127.0.0.1 дол- 
жен работать правильно, так как в процессе передачи запроса по сети для его продвижения 
используются МРІ5-метки, а не [Р-адрес назначения. При приходе на конечный узел ІР- 
пакет освобождается от заголовка МРІ.5 (это также может произойти на предыдущем хопе, 
если применяется техника РНР) и обрабатывается на основе [Р-адреса. Поскольку адрес 
127.0.0.1 указывает на собственный узел, пакет передается собственному стеку ТСР/ІР, где 
он распознается как ОРЮР-пакет протокола 5Р Ріпе и обрабатывается соответственно. Поле 
ЕЕС посылается в запросе Есйо Кедиеѕі для того, чтобы конечный узел пути мог сравнить 
указанное в пакете значение ЕЕС со значением из его собственной базы данных для пути, 
по которому пришел кадр запроса. Такой механизм позволяет отслеживать ситуации, когда 
запрос вследствие каких-то ошибок приходит не по тому пути, который тестируется. 


Если запрос благополучно доходит до конечного узла пути и тот убеждается, что полу- 
ченный запрос пришел по нужному пути (то есть полученное значение ГЕС совпадает со 
значением ЕЕС из базы данных конечного узла), то он отправляет ответ Есйо Кер узлу, 
выполнившему запрос. В нашем случае узел 1.5 В 8 отправляет ответ Есйо Кер/у узлу 1.$В1. 
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Сообщение Есйо Керіу посылается уже не по пути 1.$Р а как обычное ОЮР-сообщение, 
вложенное в [Р-пакет. Учитывая, что пути [.5Р являются однонаправленными, становит- 
ся понятно, что это — единственное гарантированное решение, так как обратного пути от 
1.588 к15К1 может не существовать. 


Теперь посмотрим, что происходит, если по какой-то причине путь 85Р поврежден. На 
рис. 20.14 представлен именно такой случай — путь поврежден на последнем своем участке 
(между устройствами 1.587 и [5 88). 


Метка= | ЗА | 0 ЕЕС= 
105 1 0.1 | 105.0.0.0 
и —_ 


105.0.0.0 
Рис. 20.14. Тестирование неисправного пути ЕЗР с помощью протокола Е$ЗР Ріпо 


В этой ситуации 1507 не может отправить МРГ5$-кадр по назначению, как того требует 
метка 177, поэтому отбрасывает заголовок МРТ.$ и старается обработать кадр как ІР- 
пакет. Как и в случае исправного пути, адрес 127.0.0.1 требует передачи пакета локальному 
стеку ТСР/Р. Именно этого эффекта и добивались разработчики протокола Г.$Р Ріпе, 
выбирая в качестве адреса назначения этот специальный адрес. Узел 157 обрабатывает 
сообщение Есйо Кедиез и отправляет сообщение Есйо КерИ узлу 1.5 В1 с информацией об 
обнаруженной ошибке. 


Трассировка путей ЕР 


При неисправном состоянии какого-то отрезка пути 85Р сообщение об ошибке не всегда 
может быть отправлено промежуточным устройством ІР, Возможна и такая ситуация, 
когда ответ на запрос Есйо Кедиез просто не приходит — сеть «молчит», например, потому 
что отказал промежуточный узел. Чтобы локализовать отказавший элемент сети (узел или 
соединение), протокол [.5Р Ршв может работать в режиме трассировки пути 18Р, Этот 
режим аналогичен режиму работы утилиты ѓгасегоџќе стека ТСР/ІР — в нем используется 
тот же механизм, заключающийся в посылке серии сообщений Есйо Кедие$ с монотонно 
возрастающим от 1 значением поля ТТІ. Разница в том, что это поле указывается не в [Р- 
пакете, как при использовании ІР-утилиты &гасегоц\е, а в заголовке МРІ5 (который также 
имеет поле ТТІ). 


Дальнейшее поведение протокола [.5Р Рав в режиме трассировки очевидно — МРІ5-кадр 
с нулевым значением ТТІ. передается «наверх» протоколу ІЅР Ріпе того промежуточного 
узла, который после вычитания единицы из значения этого поля получил нулевой резуль- 
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тат. Протокол реагирует на такую ситуацию отправкой сообщения Есйо Кер[у начальному 
узлу тестируемого пути. 


Протокол двунаправленного обнаружения 
ошибок продвижения 


Протокол двунаправленного обнаружения ошибок продвижения (Війегесбіопа! 
ЕогмагАтя Юеѓесііоп, ВЕРЮ) разработан как «облегченная» альтернатива протоколу 15Р 
Ріпе для постоянного мониторинга состояния пути 15Р. Подобный постоянный монито- 
ринг требуется, например, в случаях, когда основной путь защищен резервным путем. То 
есть необходим некий механизм, который, с одной стороны, мог бы быстро выявить отказ 
пути, а с другой — не перегружает сеть тестовыми сообщениями и трудоемкими провер- 
ками. Протокол [.5Р Ріпе удовлетворяет первому условию, то есть может использоваться 
для постоянного тестирования состояния пути путем периодической отправки сообщений 
Есйо Кедиѕі. Но обработка этих сообщений конечным узлом пути довольно трудоемка, так 
как требует сравнения значения ЕЕС в каждом пришедшем запросе со значением из базы 
данных. 


Протокол ВЕО гораздо проще, чем 1.5 Р Р1тв. Он не способен локализовать отказавший 
элемент сети, а только показывает, работоспособен некоторый путь [.$Р или нет. Название 
протокола говорит о том, что он проверяет состояние соединения между двумя узлами 
в обоих направлениях. Поскольку пути МРІ.5 однонаправленные, для работы протокола 
ВЕР” необходима пара путей 1.$Р, соединяющих два узла в обоих направлениях. 


Каждый из двух конечных узлов, на которых для мониторинга определенного пути 1.5 Р 
развернут протокол ВЕР, периодически посылает по этому пути сообщения Нео. Полу- 
чение сообщений Нео от соседа означает работоспособность пути в одном определенном 
направлении. Неполучение сообщения Нео в течение определенного времени означает 
отказ пути в этом направлении, что и фиксирует протокол ВЕРЮ. Информацию об отказе 
пути могут немедленно использовать другие протоколы стека МРІ.5, например рассма- 
триваемые далее протоколы защиты пути. 


Протокол ВЕР посылает сообщения Нео в ООР-сообщениях, которые, в свою очередь, 
упаковываются в ІР-пакеты и снабжаются заголовками МР1.$. Протокол ВЕР может ис- 
пользоваться не только для мониторинга путей МРІ.5, он разработан как универсальный 
протокол тестирования двунаправленных соединений. Обычно для инициализации сеанса 
ВЕР служит протокол [.5Р Ріпе, который переносит по пути идентификаторы сеанса ВЕР. 


Отказоустойчивость путей в МРЕ$ 


Общая характеристика 


МРІЅ поддерживает несколько механизмов обеспечения отказоустойчивости или, в тер- 
минах 5рН, механизмов автоматического защитного переключения маршрута в случае 
отказа какого-либо элемента сети: интерфейса 1.5 К, линии связи или ІК в целом. Если 
путь устанавливается с помощью протокола ОР то существует единственная возможность 
защиты пути — его восстановление с помощью распределенного механизма нахождения 
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нового пути средствами протоколов маршрутизации. Это абсолютно тот же механизм, 
который используется в ІР-сетях при отказе линии или маршрутизатора. Время восстанов- 
ления пути зависит от применяемого протокола маршрутизации и сложности топологии 
сети, обычно это десятки секунд или несколько минут. 


В том случае, когда путь является ТЕ-туннелем, в технологии МРІ.5 разработано несколь- 
ко механизмов его восстановления. Эти механизмы иллюстрирует рис. 20.15, на котором 
показан основной путь 5Р1, соединяющий устройства [5 В1 и [5 8. Будем считать, что 
путь 5Р1 является ТЕ-туннелем. 


Рис. 20.15. Защитные механизмы МРЕ$ 


О Восстановление пути его начальным узлом представляет собой традиционное (с по- 
мощью протокола маршрутизации) повторное нахождение нового пути, обходящего 
отказавший элемент сети. Отличие от восстановления пути Е.ОР заключается только 
в том, что прокладкой нового пути занимается лишь один узел сети, а именно началь- 
ный узел пути (в нашем примере — узел 15КЇ). 


О Защита линии организуется между двумя устройствами [.5К, непосредственно со- 
единенными линией связи. Обходной маршрут находится заранее, до отказа линии, 
и заранее прокладывается между этими устройствами таким образом, чтобы обойти 
линию связи в случае ее отказа. В нашем примере такой вариант защиты установлен 
для линии, соединяющей узлы [.$К2 и 1567. Обходной путь В1-[.5Р1 проложен через 
узел 5КЗ. Защита линии является временной мерой, так как параллельно с началом 
использования обходного пути начальный узел основного пути начинает процедуру его 
восстановления с помощью протокола маршрутизации. После восстановления основ- 
ного пути использование обходного пути прекращается. Временная защита линии не 
гарантирует ТЕ-туннелю требуемой пропускной способности. Механизм защиты линии 
работает очень быстро, обычно время переключения не превосходит 50 миллисекунд, 
то есть сравнимо со временем переключения сетей ЮН, которые всегда выступают 
в этой области в качестве эталона. Поэтому механизм защиты линии называют быстрой 
перемаршрутизацией (24$ ге-гоиѓе). 
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О Защита узла очень похожа на защиту линии, отличаясь тем, что обходной путь про- 
кладывается так, чтобы обойти отказавшее устройство 1.5 К (в нашем примере это 
устройство [.5К7). Все остальные характеристики аналогичны характеристикам защиты 
линии; защита узла тоже относится к механизмам быстрой перемаршрутизации и тоже 
является временной мерой. 


0 Защита пути организуется так, что в дополнение к основному пути в сети прокладыва- 
ется путь, связывающий те же конечные устройства, но проходящий, по возможности, 
через устройства 5К и линии связи, не встречающиеся в основном пути (на рисунке 
это резервный путь ВЗ-[.5Р1). Данный механизм — самый универсальный, но он рабо- 
тает медленнее, чем механизмы защиты линии и узла. 


Для быстрого обнаружения отказа основного пути или его части могут использоваться 
различные механизмы и протоколы: сообщения Нео протокола КУР, протокол ІЅР Рав 
или ВЕР”. 


Использование иерархии меток 
для быстрой защиты 


Рассмотрим работу быстрых механизмов защиты на примере защиты линии, представлен- 
ной на рис. 20.16. Пусть для защиты линии 5К2-1.5К7 в сети проложен обходной путь 
В-Г.5Р1. На основном пути 5Р1 для продвижения кадров используется последователь- 
ность меток 15, 17 и 21. На первом участке обходного пути В-.5Р1 используется метка 7, 
на втором — метка 8. 


Рис. 20.16. Распределение меток для основного пути и обходного пути защиты линии 


При отказе линии 5К2-1.5К7 устройство [.5К2 начинает направлять в обходной путь 
В-15Р1 кадры, поступающие по пути [.$5Р1 (рис. 20.17). Но если при этом поменять 
метку 15 на метку 7, как того требует обычная логика коммутации меток, то кадр при- 
дет в устройство 5 К7 с меткой 8 (ее установит устройство 5К3), которая не соот- 


ветствует значению метки 17, используемой в устройстве 1.5 В7 для передачи кадров по 
пути [.5Р1. 
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Рис. 20.17. Передача кадров по обходному пути 


Чтобы устройство [.5В7 работало при переходе на обходной путь точно так же, как и при 
нормальной работе основного пути, в технике быстрой защиты применяется иерархия 
меток. Для этого устройство [.5К2, которое реализует механизм защиты линии, заменяет 
метку 15 в пришедшем пакете меткой 17, как если бы линия 1562-1567 оставалась ра- 
ботоспособной. Затем устройство 1.$К2 проталкивает метку первого уровня в стек, а на 
вершину стека помещает метку 7, которая нужна для продвижения кадра по обходному 
пути. Устройство Г.5 КЗ является предпоследним устройством обходного пути. Поэтому 
оно удаляет верхнюю метку 7 и выталкивает на вершину стека метку 17. В результате кадр 
поступает в коммутатор [.5К7 с меткой 17, что и требуется для продвижения его далее по 
пути [.$Р1. Аналогичным образом работает механизм быстрой защиты узла, в нем также 
используется иерархия меток. 


Виртуальные частные сети на базе МРЕ$ 


Предоставление сервисов виртуальных частных сетей (Уігіџа] Ргіуасе Меіуогк, УРМ) 
является одной из основных областей применения технологии МРТ. Такие ее свойства, 
как логическое разделение потоков трафика разных пользователей на основе техники 
виртуальных каналов (в форме продвижения по меткам) и тесная интеграция с про- 
токолами слоя управления стека ТСР/ІР, обеспечивают МРІ5 прочное место в спектре 
технологий УРМ. 


Общие свойства УРМА 


Сервис виртуальных частных сетей (Уігіџа! Ргіуаѓе Мегуогк, УРМ) появился как более 
экономичная альтернатива сервису выделенных каналов, используемому при построении 
частной компьютерной сети. Каналы виртуальной частной сети, так же как и выделенные 
каналы, соединяют отдельные сети клиента этой услуги в единую изолированную сеть. 
Но в отличие от выделенных каналов, строящихся с помощью техники коммутации и об- 


654 Часть М Глобальные компьютерные сети 


ладающих фиксированной пропускной способностью, каналы виртуальной частной сети 
прокладываются внутри сети с коммутацией пакетов: ІР, МРІ.5 или Е\фегпее. Экономич- 
ность сервиса УРМ является следствием более эффективного разделения ресурсов сети 
при коммутации пакетов по сравнению с коммутацией каналов, реализуемой в рамках 
построения частной сети. 


На рис. 20.18 показан пример построения корпоративной сети клиента А с помощью сер- 
виса виртуальной частной сети; каналы представляют собой соединения в сетях с комму- 
тацией пакетов операторов 1 и 2. 


Канал 1 виртуальной 
частной сети 1 


Сеть 1 клиента А Е 
Сеть 2 клиента А 


Канал 2 виртуальной 
частной сети 1 


м 
Сеть оператора 2 


ма 


2^ 


— а 
Сеть оператора 1 2 


/ 


Сеть оператора З 


Сеть З клиента А 


Рис. 20.18. Сервис виртуальной частной сети 


Технология УРМ позволяет реализовать сервисы, приближающиеся к сервисам изолированной 
частной сети по качеству, но на разделяемой между пользователями инфраструктуре публичной 
сети с коммутацией пакетов. 


Объединяемые с помощью услуги УРМ сети пользователя называют также сайтами. 


Можно сказать, что виртуальная частная сеть имитирует некоторые свойства частной сети, 
проистекающие из ее изолированности, используя для этого другие технологии. Наиболее 
ценными для владельцев частных сетей являются следующие их свойства: 


О Ограничение доступа к сети на уровне транспорта: только узлы сети имеют техниче- 
скую возможность посылать свои пакеты друг другу. Для технологии УРМ обеспечить 
это свойство очень трудно, так как пакеты пользователей УРМ проходят через те же 
коммуникационные устройства и каналы, что и пакеты внешних пользователей. 


О Независимая система адресации. В частных сетях нет ограничений на выбор адресов — 
они могут быть любыми. Чтобы сохранить это свойство, сеть УРМ должна допускать 
адресацию узлов из всего диапазона ІР-адресов, включая частные [Р-адреса (рекомен- 
дованные только для автономного использования). 
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О Предсказуемая производительность. Собственные линии связи гарантируют заранее 
известную пропускную способность между узлами предприятия (для глобальных 
соединений) или коммуникационными устройствами (для локальных соединений). 
Обеспечение предсказуемой пропускной способности в публичной сети с коммутацией 
пакетов может стать проблемой для сервиса УРМ. 


О Максимально возможная безопасность. Отсутствие связей с внешним миром ограждает 
частную сеть от атак извне и существенно снижает вероятность «прослушивания» тра- 
фика по пути следования пакетов. УРМ ограничивает доступ внешних пользователей, 
а значит, исключает возможность атак извне, а для защиты от прослушивания можно 
применить шифрование. 


Технологии УРМ отличаются набором свойств частной сети, которые они имитируют, сте- 
пенью приближения к качеству этих свойств. В зависимости от того, кто реализует услугу 
УРМ (провайдер или клиент), они подразделяются на два вида. 


О В поддерживаемой клиентом виртуальной частной сети (Сиѕѓіотег Ргоу!4е4 Уігѓиај] 
Риузе Меѓуогк, СРУРМ) все тяготы по поддержке сети УРМ ложатся на плечи потре- 
бителя. Провайдер предоставляет только «простые» традиционные услуги общедоступ- 
ной сети по объединению узлов клиента, например доступ в Интернет, а специалисты 
предприятия самостоятельно конфигурируют средства УРМ и управляют ими. 


О В случае поддерживаемой провайдером виртуальной частной сети (Ргоуійег 
Ргоуіѕіопеа Уігќџа] Ргіуаѓќе Меёхогк, РРУРМ) провайдер услуг УРМ на основе соб- 
ственной сети воспроизводит частную сеть для каждого своего клиента, изолируя 
и защищая ее от остальных. 


Поддерживаемые провайдером сети УРМ обычно обеспечивают более широкий спектр 
имитируемых свойств частной сети, чем поддерживаемые клиентом. Это объясняется тем, 
что провайдер имеет контроль над собственной сетью и может применить в ней соответ- 
ствующую технологию и сконфигурировать свои устройства наиболее эффективным для 
оказания услуг УРМ способом. Клиент такой возможности лишен, но может использовать 
стандартный транспортный сервис провайдера и придать ему свойства УРМ благодаря 
специальной конфигурации своих пограничных устройств. Как правило, поддерживае- 
мые клиентом сети УРМ используют шифрование трафика и его туннелирование через 
Интернет — мы будем рассматривать этот тип сетей УРМ в части УП, посвященной без- 
опасности сетей. В зависимости от того, адресная информация какого уровня принимается 
во внимание при объединении сетей клиентов, различаются: 


О УРМ второго уровня: учитывается адресная информация второго (канального уровня) 
сетей клиентов, то есть МАС-адреса и идентификаторы УГАМ; 


О УРМ третьего уровня: учитываются [Р-адреса сетей клиентов. 


Провайдеры для оказания услуг УРМ используют различные технологии (см. далее). 


Стандартизация услуг УРМ второго уровня 


Мы уже подчеркивали значение предоставления пользователям услуг УРМ с привычным 
для пользователей интерфейсом Еегпеѓ. Такие услуги являются доминирующими в груп- 
пе услуг УРМ второго уровня. Внутренняя реализация УРМ услуг второго уровня может 
быть разной, сегодня провайдеры чаще всего используют в этих целях технологии Саггіег 
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Еегпе (то есть технологии РВ, РВВ и РВВ-ТЕ, рассмотренные в главе 12) и МРГ$. 
Эти две популярные реализации услуг УРМ второго уровня получили названия Ефегпе 
оуег Ефегпей (ЕоЕ) и Еһегпеё оуег МРТ.$ (ЕоМРТ.5). Наличие у этих услуг интерфейса 
ЕБегпе дает им еще одно название — Ефегпе УРМ. Очень часто при описании характери- 
стик услуги УРМ (например, топологии связей между пользовательскими сетями) провай- 
дер применяет собственную терминологию, при этом описание может быть технологически 
ориентировано, например услуги ЕоМРТ.$ могут быть описаны с привлечением термино- 
логии МРГ$. Понятно, что стандартизация услуг Е{Вегпеё УРМ — это важное направление 
работ в области Ећегпеѓ операторского класса, позволяющее провайдерам и пользователям 
однозначно описывать услуги, не вдаваясь в детали их внутренней реализации. Работой по 
созданию технологически нейтральных спецификаций глобальной услуги Ефегпеё УРМ 
Е егпе* занимается организация под названием Мего Ећегпеѓ Еогит (МЕЕ). 


В спецификациях МЕЕ вводится три типа услуг виртуальных частных сетей Есћегпеї, 
которые отличаются топологией связей между сайтами пользователей. Для того чтобы 
формализовать топологию связей, вводится понятие виртуального соединения Е(ћегпеѓ 
(Ефегпеё Уп(иа! Сігсиі, ЕУС). Каждое соединение ЕУС связывает сайты пользователей 
в отдельную виртуальную частную сеть, объединяя сетевые интерфейсы пользователей 
(ОМІ). Соответственно имеются три типа соединений ЕУС (рис. 20.19): 


О <точка-точка» (двухточечная топология); 
О «каждый с каждым» (полносвязная топология); 
О «дерево» (древовидная топология). 


Соединение ЕМС «каждый с каждым» 
Соединение ЕМС «точка-точка» 


ОМІ 
ОМІ 


ОМІ ОМІ 


ОМІ 
Сеть оператора связи 


ОМІ-корень 
ОМІ-лист 
ЧОМІ-лист 
ОМІ-лист 
Сеть оператора ИИС 


СВЯЗИ 


Рис. 20.19. Три типа услуг Еїћегпеї 
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В зависимости от типа используемого соединения различаются и типы услуг: 


Ц Е-1МЕ. Эта услуга связывает только два пользовательских сайта через двухточечное 
ЕУС-соединение. Услуга Е-ГЛМЕ соответствует услуге выделенной линии. 


Ц Е-ГАМ. Эта услуга аналогична услуге локальной сети, позволяя связать неограничен- 
ное число пользовательских сайтов так, что каждый сайт может взаимодействовать 
с каждым. При этом соблюдается логика работы локальной сети — кадры Еегпее с не- 
изученными и широковещательными МАС-адресами передаются всем сайтам, а кадры 
с изученными уникальными МАС-адресами — только тому сайту, в котором находится 
конечный узел с данным адресом. 


Ц Е-ТКЕЕ. Спецификация этой услуги появилась позже других; в локальных сетях ей 
аналога нет. Пользовательские сайты делятся на корневые и листовые. Последние мо- 
гут взаимодействовать только с корневыми, но не между собой. Корневые сайты могут 
взаимодействовать с листовыми сайтами и друг с другом. 


Кроме того, в спецификации МЕЕ вводятся два варианта каждого типа услуги. В первом 
варианте пользовательский сайт определяется как сеть, подключенная к отдельному 
физическому интерфейсу ОМІ. Значения идентификаторов УГ.АМ в пользовательских 
кадрах (то есть значения С-УІР” в терминологии РВ/РВВ/РВВ-ТЕ) в расчет не принима- 
ются. В названии этого варианта услуги к названию типа добавляется термин «частный» 
(ргіуасе). Например, для услуги типа Е-Г.ПМЕ этот вариант называют частной линией 
Есһегпеѓ (Егһегпеѓ Риуае Глпе, ЕРІ), а для услуги Е-ГАМ — частной локальной сетью 
Есћегпеѓ (Ећегпеѓ Ргіуаќе ТАМ, ЕРГАМ). 


В другом варианте услуги к одному и тому же физическому интерфейсу ОМІ могут быть 
подключены различные пользовательские сайты. В этом случае они различаются по зна- 
чению идентификатора УГАМ (С-УІР). Другими словами, провайдер внутри своей сети 
сохраняет деление локальной сети на УГАМ, сделанное пользователем. В варианте услуги 
с учетом УГАМ добавляется название «виртуальная частная». Например, для услуги типа 
Е-ІІМЕ это будет виртуальная частная линия Ефегпеф (Есћегпеё Упиа| Ргіуаѓе Глпе, 


ЕУРІ.), а для услуги Е-ГАМ — виртуальная частная локальная сеть Е(ћегпеѓ (Е{фегпе 
Ушша! Ргіуаќе ТАМ, ЕУРГАМ). 


В своих определениях МЕЕ использует термины «частная услуга» и «виртуальная частная 
услуга» не совсем традиционным образом, так как оба типа услуги являются виртуальными 
частными в том смысле, что они предоставляются через логическое соединение в сети с ком- 
мутацией пакетов, а не через физический канал в сети с коммутацией каналов. Помимо ука- 
занных определений услуг спецификации МЕЕ стандартизуют некоторые важные параметры 
услуг — например, услуга может характеризоваться гарантированным уровнем пропускной 
способности соединения, а также гарантированными параметрами Оо5. Технологии Сагпег 
Есћегпеѓ Тгапзрог( (РВ, РВВ и РВВ-ТЕ) оказывают услуги Ефегпеё УРМ непосредственно, 
без дополнительных надстроек и механизмов, поскольку разрабатывались именно для этой 
цели. Сети РВ и РВВ могут оказывать услуги Е-1ІМЕ (при соединении двух пользовательских 
сайтов) и Е-ГАМ (при соединении более чем двух пользовательских сайтов), а сети РВВ- 
ТЕ — только услуги Е-[ МЕ. Услуги Е-ТКЕЕ ни одна из этих технологий не поддерживает. 


Технология МРІЅ УРМ второго уровня 


Для использования МРТ. как внутренней технологии провайдера при предоставлении 
услуг Ефегпеё УРМ маршрутизаторы МРІ5 должны быть сконфигурированы специ- 
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альным образом, а пограничные маршрутизаторы должны, кроме того, предоставлять 
пользователям интерфейсы Ефегпей. 


Псевдоканалы 


Стандарты ІЕТЕ описывают два типа услуг Е(һегпеі УРМ, которые строятся с помощью 
технологии МРГ$: УР\/$ (Уіггџиа] Риумже УМге Ѕегуісе) и УРТ$ (Уиа| Риуме ПАМ 
Ѕегуісе). Различие между этими услугами в том, что УРМ эмулирует соединение Еегпе 
с двухточечной топологией, то есть канал Еегпе{, а УРТГ.$ эмулирует поведение локаль- 
ной сети, то есть обеспечивает соединения с полносвязной топологией в стиле обычной 
локальной сети Ефегпе. Используя терминологию МЕЕ услуга У РТ.$ соответствует ус- 
луге Е-Г.АМ, а услуга УР\/$ — услуге Е-1МЕ. При этом стандарты ТЕТЕ описывают оба 
варианта услуг как с принятием во внимание пользовательских идентификаторов УГАМ“, 
то есть услуги ЕУРІ. и ЕУРГАМ, так и без, то есть ЕРІ. и ЕРГАМ. Обе услуги являются 
услугами МРІ5 УРМ второго уровня (МРІ5 [.2УРМ), поскольку позволяют предоставлять 
услуги УРМ№, взаимодействуя с пользовательскими сетями на втором уровне. 


Основным строительным элементом этих услуг являются так называемые псевдоканалы! 
(рзеи4о\лге), которые соединяют пограничные маршрутизаторы провайдера. На рис. 20.20 


показано три таких псевдоканала, соединяющих между собой пограничные маршрутиза- 
торы РЕ1-РЕА (РЕ — от Ргоуійег Еве). 


Сеть провайдера 


Рис. 20.20. Псевдоканалы в сети провайдера 


Псевдоканалы представляют собой пути [.$Р второго уровня иерархии (называемого так- 
же внутренним уровнем), проложенные внутри 15Р первого (внешнего) уровня. Обычно 
в качестве [.5Р первого уровня иерархии используются ТЕ-туннели МРГ$, так как они об- 
ладают полезными дополнительными свойствами, которых нет у путей, проложенных с по- 


1 Встречаются и другие русские переводы термина рѕеџіожіге, например, «эмулятор канала», «эму- 
лятор кабеля», «псевдопровод». 
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мощью протокола ОР, например, с более сбалансированной нагрузкой. На рисунке пути 
.5Р первого уровня не показаны, чтобы заострить внимание читателя на псевдоканалах. 


Псевдоканалы — это логические транспортные соединения, физически они могут про- 
ходить через промежуточные магистральные маршрутизаторы, однако для них они про- 
зрачны, то есть в нашем примере маршрутизаторы Р1, Р2 и РЗ просто не замечают их 
существования в сети. Однако псевдоканал — это не просто логическое соединение 1.5Р 
второго уровня иерархии, поскольку, согласно определению, данному в КЕС 3985, у псев- 
доканала есть более специфическое назначение. 


Псевдоканал — это механизм, который эмулирует существенные свойства какого-либо теле- 
коммуникационного сервиса через сеть с коммутацией пакетов. 


Одним из вариантов применения псевдоканалов при эмуляции услуг ЕВегпей является 
передача псевдоканалом трафика одного пользовательского соединения, при этом псев- 
доканал эмулирует кабельное соединение между сетями пользователей. В примере на 
рисунке псевдоканал Р№2 служит для организации соединения между сетями А и Е через 
сеть провайдера. При этом кадры Е{Вегпеф, отправляемые сетью А в сеть Е инкапсулиру- 
ются пограничным маршрутизатором РЕЇ в данные псевдоканала и доставляются им по- 
граничному маршрутизатору РЕ4, который извлекает эти кадры и отправляет их в сеть Е 
в первоначальном виде. 


Из определения, данного в КЕС 3985, видно, что назначение псевдоканала шире эмуляции 
Есһегпеё — это может быть и эмуляция сервисов выделенных каналов технологий РОН 
или ЗОН, и эмуляция виртуальных каналов АТМ или Егате Ке]ау. Однако в любом случае 
эмуляция такой услуги выполняется через пакетную сеть. Тип пакетной сети также не 
уточняется, так что это может быть и классическая сеть ІР (без МРТ), и сеть ІР/МРІ.5, 
и сеть АТМ. Главное в этом обобщенном определении — то, что псевдоканал скрывает от 
пользователей эмулируемого сервиса детали пакетной сети провайдера, соединяя поль- 
зовательские пограничные устройства (СЕ на рис. 20.20) таким образом, как если бы они 
соединялись с помощью выделенного канала или кабеля. Для некоторых наиболее важных 
сочетаний эмулируемого сервиса и типа пакетной сети комитет ІЕТЕ разработал отдельные 
спецификации псевдоканалов. Далее мы рассмотрим тип псевдоканала, который нужен 
для предоставления услуг Е(ћегпеѓ операторского класса, а именно исевдоканал эмуляции 
Ейете через сети 1Р/МРТ5$, описанный в КЕС 4448. 


Технически создать [.5Р второго уровня достаточно просто — для этого в маршрутизаторах, 
соединенных 15Р первого уровня, нужно задать значение метки второго уровня, которое 
будет использоваться, чтобы различать І5Р второго уровня внутри 15Р первого уровня 
(рис. 20.21). На нем изображены два пограничных маршрутизатора, РЕ1 и РЕ2, соединен- 
ные псевдоканалом РЕ57. Однако рисунок оказался немного сложнее, чем можно было 
предположить — вместо одного пути Р первого уровня мы видим два таких пути. Это 
связано с тем, что двухточечные псевдоканалы, которые служат для эмуляции Е(ћегпеї, 
по определению ТЕТЕ всегда являются двунаправленными!, а МРЕ.$ [.5Р — это однона- 


1 Форум ІЕТЕ определил и другие типы псевдоканалов, такие как «точка-многоточка» и «многоточ- 
ка-многоточка». Эти псевдоканалы являются однонаправленными, но для эмуляции ЕВегпе они 
не используются. 
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правленный путь. Поэтому для создания двунаправленного псевдоканала требуется два 
однонаправленных пути второго уровня, вложенных в два однонаправленных пути первого 
уровня, что и показано на рисунке. 
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Рис. 20.21. Создание псевдоканала внутри туннелей МРЕ$ 


Рассматриваемый в нашем примере псевдоканал в направлении от РЕ1 к РЕ? идентифи- 
цируется меткой 57, а туннель, который использует этот канал, — меткой 102. Поэтому 
при отправке кадра Ећегпеѓ, предназначенного для РЕ2, маршрутизатор РЕ1 помещает 
исходный кадр Еегпеѓ в кадр МРГ$ и адресует этот кадр двумя метками: внешней мет- 
кой 102 и внутренней меткой 57. Внешняя метка применяется затем магистральными 
маршрутизаторами Р1, Р2 и РЗ для того, чтобы доставить кадр пограничному маршрутиза- 
тору РЕ2, при этом в процессе передачи кадра происходит обычная коммутация по меткам 
(на рисунке показано, что после прохождения Р1 внешняя метка получила значение 161). 
Внутренняя метка 57 требуется только пограничному маршрутизатору РЕ2, который знает, 
что эта метка соответствует псевдоканалу Р№57, необходимому для связи с некоторой 
пользовательской сетью. 


Как мы видим из рассмотренного примера, псевдоканалы работают только внутри сети про- 
вайдера, так что для эмуляции сервиса «из конца в конец» нужны еще какие-то элементы 
и механизмы — имы скоро их рассмотрим, но сначала давайте обсудим преимущества при- 
менения псевдоканалов поверх МРТ.5$. Возникает естественный вопрос: нельзя ли обойтись 
Г.5Р первого уровня для передачи трафика Ећегпеѓ через сеть провайдера, не используя 
концепцию псевдоканала? В принципе, без псевдоканалов обойтись можно, но тогда для 
каждого нового пользовательского соединения пришлось бы создавать новый туннель 
(то есть .5Р первого уровня), а это не очень масштабируемое решение, так как конфигу- 
рирование такого пути обязательно подразумевает конфигурирование всех магистральных 
маршрутизаторов сети. Поэтому одно из существенных преимуществ псевдоканалов состо- 
ит в том, что в сети провайдера нужно сконфигурировать только сравнительно небольшое 
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число туннелей между пограничными маршрутизаторами, а затем использовать каждый 
из них для прокладки необходимого числа псевдоканалов. Создание нового псевдоканала 
также требует конфигурирования, но только пары пограничных маршрутизаторов, явля- 
ющихся конечными точками псевдоканала, что подразумевает гораздо меньший объем 
работы. Мы уже видели применение подобной схемы в сетях РВВ и РВВ-ТЕ, где роль 
псевдоканалов играют соединения [-5 10. 


Другим преимуществом псевдоканалов является их универсальность, то есть возмож- 
ность их применения не только в сетях МРГ5, но и в сетях других типов, таких как «чи- 
стые» [Р-сети с туннелированием (например, по протоколу [Ё.2ТР или СКЕ) и не только 
при эмуляции Еегпеф, но и при эмуляции других сервисов (например, каналов РОН). 
Естественно, что при переходе к другой реализации псевдоканалов конкретные команды 
конфигурирования меняются, но концепция остается, и это помогает администраторам 
сети освоить новую технологию. 


Услуги УР\/$ 


Услуги виртуальных частных каналов (Уігіџа] Рпуаж{е УЛге Ѕегуісе, УР\!$) исполняют 
роль «глобального кабеля», соединяя прозрачным образом две локальные пользователь- 
ские сети Ефегпе через сеть оператора связи. Мы рассмотрим организацию такой услуги 
с помощью псевдоканалов МРІ5 на примере (рис. 20.22). При этом мы опишем допол- 
нительные элементы механизма эмуляции услуги Е\егпее, которые были опущены при 
описании псевдоканалов. 


Рис. 20.22. Организация виртуального частного канала Ећегпеї 


Чаще всего пользовательские сети соединяются с пограничным маршрутизатором про- 
вайдера через выделенный интерфейс, который для глобальных услуг ЕБегпее должен 
быть стандартным интерфейсом Еќһегпеї, например 1000Вазе-[-Х. В этом случае услуга 
УРУ\У/5 заключается в прозрачном соединении этих интерфейсов, когда сеть провайдера 
передает все кадры, поступающие на такой интерфейс от сети пользователя. Иногда этот 
режим УРУ$ называют коммутацией портов пользователя (в терминологии МЕР это 
услуга ЕРІ). Возможен и другой вариант услуги УРУ№5, когда сеть провайдера соединяет 
виртуальные пользовательские сети, то есть по двухточечному соединению передаются 
не все кадры, поступающие через интерфейс пользователя, а только кадры, принадлежа- 
щие определенной сети УГАМ“. Этот режим работы УР\У’/$ можно назвать коммутацией 
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виртуальных локальных сетей, или УГАМ-коммутацией (в терминологии МЕЕ это услуга 
ЕУРІ). 


Чтобы обобщить понятие интерфейса с пользователем, форум ІЕТЕ ввел термин канал 
присоединения (АЦасЬтепе Сігсиџії, АС). АС поставляет входной поток пользователь- 
ских данных для сети провайдера, то есть ту нагрузку, которую нужно коммутировать. 
Употребляя этот термин, можно сказать, что услуга УРМ всегда соединяет два поль- 
зовательских канала присоединения; это определение справедливо не только для услуг 
Ећегпе, но и для услуг, например, Егате Ке]ау или АТМ, в этом случае каналы при- 
соединения являются виртуальными каналами этих технологий. На рисунке показаны 
также внутренние функциональные элементы пограничных маршрутизаторов РЕ1 и РЕ2, 
эмулирующих услуги УРУ\У№5 вместе с псевдоканалом РУХ. Модуль В (от Вг!4ве — мост) 
работает по стандартному алгоритму ІЕЕЕ 802.10. Его роль в схеме эмуляции — выде- 
ление кадров ЕФегпе из общих потоков, поступающих на порты маршрутизатора, для 
передачи в псевдоканал. Тем самым модуль моста формирует логический интерфейс 
виртуального коммутатора. Например, если это режим коммутации портов, то модуль 
моста конфигурируется так, чтобы все кадры, пришедшие на соответствующий порт 
от пользователя, направлялись для дальнейшей обработки в псевдоканал. Если же это 
УГАМ-коммутация, то модуль моста выбирает для передачи псевдоканалу только кадры, 
помеченные определенным значением тега УГАМ. 


Выбранные модулем моста кадры поступают в псевдоканал не непосредственно, а через 
два промежуточных модуля — МЅР и У$. Модуль М№$Р (Майуе Ѕегуісе Ргосеѕѕіпе) обеспе- 
чивает предварительную обработку кадров Е(ћегпеѓ. Чаще всего такая обработка связана 
с изменением или добавлением тега УТ.АМ, что может потребоваться, например, если объ- 
единяемые пользовательские сети применяют различные значения УГАМ для одной и той 
же виртуальной сети. Модуль У$ (Мігіџа] З\исЬ — виртуальный коммутатор) коммути- 
рует один из каналов присоединения с одним из псевдоканалов. Для услуги УРУ\У/5 этот 
модуль работает «вхолостую», выполняя постоянную коммутацию единственного канала 
присоединения с единственным псевдоканалом. Но для услуги УРІ.5, рассматриваемой 
в следующем разделе, виртуальный коммутатор играет важную роль, поэтому в обобщен- 
ной схеме эмуляции услуг Еегпек, представленной на рис. 22.5, он присутствует. 


После обработки пришедшего кадра модулями МСР и У5 он передается псевдоканалу. 
Конечные точки Т псевдоканала Р№57 выполняют две операции: 


О инкапсуляцию и декапсуляцию пользовательских кадров в кадры МРІ.5; 
ЧО мультиплексирование и демультиплексирование псевдоканалов в туннеле МРТ.5. 


Процедуру инкапсуляции и формат результирующего кадра определяет спецификация 
ВЕС 4448. У исходного кадра отбрасываются поля преамбулы и контрольной суммы, 
после чего он помещается в кадр МРГ с двумя полями меток: внешней (метка туннеля) 
и внутренней (метка псевдоканала), как это показано на рис. 20.23. На рисунке не показаны 
поля заголовка кадра МРІ5, относящиеся к конкретной канальной технологии, которая 
используется на внутренних интерфейсах пограничных маршрутизаторов — напомним, 
кадры МРГ.$ могут иметь обрамление Е{Бегпее, РРР, АТМ или Егате Ве]ау (в случае 
Есһегпеѓ это обрамление не имеет отношения к пользовательскому кадру Е(ћегпеѓ, инкап- 
сулированному в кадр МРГ5). 


В то время как первые два слова в заголовке, представленном на рисунке, являются стан- 
дартными заголовками МРІ.5, третье слово, называемое управляющим (сопіго! мога), 
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Рис. 20.23. Формат инкапсуляции Ећегпеї поверх МРІЅ 


Заголовок туннеля 


Заголовок псевдоканала 


Управляющее слово 


впервые появилось в стандарте КЕС 4448. Оно необязательно и предназначено для упоря- 
дочивания кадров, передаваемых по псевдоканалу, — для этого каждому кадру маршрутиза- 
тором-отправителем присваивается порядковый номер, помещаемый в управляющее слово. 
Потребность в управляющем слове возникает, когда внутри сети провайдера происходит 
распараллеливание трафика туннеля и кадры могут выходить из туннеля не в том порядке, 
в котором были направлены в него. 


Конфигурирование псевдоканалов, то есть согласование внутренних меток, используе- 
мых для идентификации и мультиплексирования псевдоканалов внутри туннеля, может 
быть автоматизировано. Для этого сегодня применяют протокол ГОР или ВСР. Обратите 
внимание, что речь идет о прокладке псевдоканала, а не самого туннеля (эти два процесса 
независимы), так что туннель может быть проложен, например, с помощью протокола 
КУР ТЕ, а псевдоканалы в нем — с помощью протокола ЮР. Протокол ГОР служит 
также для уведомления одним маршрутизатором РЕ другого об изменении состояния 
«работоспособен/неработоспособен» псевдоканала или канала присоединения. Это очень 
полезное свойство, так как без него удаленный маршрутизатор РЕ не узнает об отказе непо- 
средственно не присоединенных к нему отрезков эмулируемого транспортного соединения 
и будет пытаться его использовать, посылая данные. Протокол Г.ОР позволяет в случае 
такого отказа отозвать метку, ранее назначенную псевдоканалу. 


В завершение описания услуг УРМ хочется напомнить, что такое важное свойство ус- 
луги, как гарантированная пропускная способность, обеспечивается с помощью техники 
инжиниринга трафика, опирающейся в данном случае на соответствующие свойства тун- 
нелей МРГ$. Аналогично обстоит дело с параметрами качества обслуживания (005) для 
виртуальных соединений УР\!5 — они могут быть обеспечены с помощью стандартных 
механизмов (0058: приоритетное обслуживание, профилирование трафика, контроль до- 
ступа и резервирование ресурсов. И в этом случае МРГ$ является хорошим базисом, так 
как детерминированность маршрутов туннелей МРГ$ делает контроль доступа намного 
более определенной процедурой, чем в случае ІР-сетей с их распределенным (и вносящим 
неопределенность) механизмом выбора маршрутов. 


Услуги УРЕЗ$ 


Услуги виртуальной частной локальной сети (Үігїџа] Ргіуаќе АМ“ Ѕегуісе, УРІ$) соответ- 
ствуют определению услуг Е-ГАМ МЕЕ причем как варианту с учетом идентификаторов 
УГАМ пользователей ЕУРГ.АМ, так и варианту без их учета ЕРТ.АМ. Как и в случае УРМ, 
сервис УРТ.$ организован на базе псевдоканалов. Отличие — в том, что для каждого эк- 
земпляра УРТ.$ используется отдельный набор псевдоканалов. Каждый такой набор имеет 
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полносвязную топологию, то есть все пограничные маршрутизаторы РЕ, участвующие 
в работе какого-то экземпляра УРІ5, связаны друг с другом. 


На рис. 20.24 показан пример сети провайдера, эмулирующей два сервиса УРІ5. Поль- 
зовательские сети С1, С5 и С8 относятся к «серому» сервису УРГ5, а сети С2, СЗ, С4, 
Сби С7 — к «белому». Соответственно, набор псевдоканалов Р№-Ві, Р\У/-В2 и РУ/-ВЗ 
объединяет пограничные маршрутизаторы, к которым подключены сети «серого» сервиса 
УРГ5, а набор псевдоканалов РУ№У-\№1, РМ-У2 и РУ/-\!З — маршрутизаторы, к которым 
подключены сети «белого» сервиса УРГ.$ (в нашем примере это одни и те же пограничные 


маршрутизаторы РЕ1, РЕ2 и РЕЗ, но если бы сети С4 не существовало, то псевдоканалы 
Р№-\2 и Р\/-\М/З были бы не нужны). 


РҮҮ-В1 
РҮҮ-В2 


Рис. 20.24. Организация услуги МР5 


Внутренняя организация пограничного маршрутизатора при оказании услуги УРІ5 по- 
казана на примере маршрутизатора РЕ1. Мы видим, что для поддержки каждого экзем- 
пляра сервиса УРІ5 пограничному маршрутизатору требуется отдельный виртуальный 
коммутатор, в данном случае — модули УЗВ и УЅ\У (модули М$Р не показаны, чтобы 
не загромождать рисунок, но они в РЕ! входят, по одному на каждый экземпляр УРГ5). 
Как и в случае УР№5, модуль В выполняет стандартные функции моста и при этом фор- 
мирует логический интерфейс с каждым из виртуальных коммутаторов. Этот интерфейс 
может также формироваться на основе коммутации либо пользовательских портов, когда 
весь трафик от определенного порта (или нескольких портов) передается на логический 
интерфейс, либо сетей УТ.АМ, когда выбираются кадры одной (или нескольких) пользо- 
вательских сетей УГАМ от одного или нескольких портов. 


Однако если в случае УРМ виртуальный коммутатор выполнял простую работу по 
передаче кадров от логического интерфейса, то для УРІ5 этот модуль функционирует по 
алгоритму стандартного коммутатора (моста). Для этого виртуальный коммутатор изучает 
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МАС-адреса и строит свою таблицу продвижения, как и обычный коммутатор. На рисунке 
показан упрощенный вид таблицы продвижения РЕ1, состоящей из двух записей: одна 
запись связывает адрес М8 сети С8 с псевдоканалом Р\№-Ві, другая — адрес М5 сети С5 
с псевдоканалом Р\/-В2. Посредством таблицы виртуальный коммутатор не затапливает 
сеть, получая кадры с адресами М5 или М8, а направляет их в псевдоканал, ведущий к по- 
граничному коммутатору, к которому подключена сеть с узлом назначения. Кадры с широ- 
ковещательным адресом или адресом, отсутствующим в таблице продвижения, поступают 
на все его псевдоканалы, в данном случае — на Р\/-В1 и РУ/-\\ 1. 


Единственной особенностью виртуального коммутатора является то, что он не изучает адреса 
отправления кадров, приходящих с логического интерфейса. 


Эта операция не нужна, потому что для интерфейсов, представленных псевдоканалами, 
виртуальный коммутатор работает по правилу расщепления горизонта (зрШ Бог!топ) — он 
никогда не передает на псевдоканал кадры, полученные от какого бы то ни было псевдо- 
канала. Тем самым предотвращается образование петель между виртуальными коммута- 
торами, а доставку кадров по назначению гарантирует полносвязная топология. То есть 
любой кадр, полученный виртуальным коммутатором по псевдоканалу, всегда передается 
на логический интерфейс пользователя, соответствующий тому сервису УРГ5, к которому 
относится псевдоканал. Модуль моста В изучает только адреса, приходящие с пользова- 
тельских интерфейсов, служащие ему для выбора нужного интерфейса в том случае, когда 
несколько пользовательских сетей относятся к одному сервису УРГ5. 


Конфигурирование РЕ может оказаться трудоемким занятием, так как в случае М погра- 
ничных коммутаторов нужно создать № (№ - 1)/2 псевдоканалов. Кроме того, добавление 
любого нового устройства РЕ требует переконфигурирования всех остальных коммутато- 
ров. Для автоматизации этих процедур можно использовать вариант организации УРГ5, 
описанный в КЕС 4761, так как он предусматривает применение для этой цели протокола 
ВСР Вариант УРІ5, описанный в КЕС 4762, подразумевает распределение меток второго 
уровня иерархии с помощью протокола ЮР но автоматизацию процедур конфигуриро- 
вания он не поддерживает. 


($) Технология МРЕ5 УРМ третьего уровня 


Вопросы к части У 


> 


13. 


14. 


15. 


16. 


Какие из перечисленных услуг относятся к информационным (выберите вариант 
ответа): 


а) выделенные каналы ОТМ; 

б) интернет-телефония; 

в) веб-хостинг. 

К какому типу сети оператора связи должен быть подключен центр данных, управля- 
ющий роботами в реальном масштабе времени (выберите вариант ответа): 

а) к магистрали; 

6) ксети доступа. 

В чем разница между технологиями «ІР поверх ОТМ» и «ІР поверх О\УУОМ»? 
Назовите преимущества и недостатки техники виртуальных каналов. 


Какой период усреднения скорости оговорен в 51А, если СІК = 500 Мбит/с 
и Вс = 15 Мбайт? 


Чему равна задержка пакетизации для кадров Еїћегпеѓ с размером поля данных 
9000 байт (ЛитБо #атез)? 
Почему нисходящая скорость технологии АР. всегда выше восходящей? 


Поясните, каким образом можно повысить скорость технологии Ар$1. (выберите 
вариант ответа): 

а) за счет применения техники кодирования с большим числом состояний сигнала; 
б) за счет замены части абонентского медного окончания оптическим волокном; 

в) за счет уменьшения числа узлов домашней сети пользователя. 

Почему сети РОМ дешевле активных оптических сетей? 


Какой метод мультиплексирования применяется в технологии РОМ? 
Какой алгоритм доступа применяется в технологии РОМ? 


Перечислите функциональные модули [Р-маршрутизатора, которые используются 
в (ЗК. 


Предположим, что [5 К использует формат кадров Е(ћегпеѓ. Означает ли это, что 15К 


продвигает кадры на основе таблицы продвижения, полученной в соответствии со 
стандартом ІЕЕЕ 802.10? 


Протокол Г.ОР является частью технологии (выберите вариант ответа): 


а) МРІЅ ІСР; 
б) МРІЅТЕ. 


Можно ли в сети, поддерживающей МРІ.5, передавать часть трафика с помощью 
обычного ІР-продвижения? 


Технология МРІ5 является гибридом технологий (выберите вариант ответа): 
а) ІриІрРХ; 


17. 


18. 


19. 


20. 


21. 


22. 
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б) Іри ОЗРЕ; 

в) ІР и технологии виртуальных каналов. 

Какие функциональные модули ІР-маршрутизатора используются в 5К (выберите 

вариант ответа): 

а) блок продвижения; 

б) блок протоколов маршрутизации; 

в) блок протоколов канального уровня. 

Класс эквивалентности продвижения — это (выберите вариант ответа): 

а) набор путей І.5Р с равными метриками; 

б) набор путей к одному и тому же выходному ГЕК; 

в) группа ІР-пакетов, имеющих одни и те же требования к условиям транспорти- 
ровки. 

Какой из вариантов управления распределением меток протоколом ГОР называется 

упорядоченным: 

а) метка назначается по запросу от вышележащего устройства [.5К; 


б) метка не назначается устройством Г.$ К. до тех пор, пока оно не получит метку от 
нижележащего устройства; 


в) метка назначается администратором сети. 

Поясните, зачем в сообщении Есһо Кедиез протокола 1.5 Р Ріпе в качестве ІР-адреса 
назначения применяется адрес 127.0.0.1 (выберите вариант ответа): 

а) для тестирования стека протоколов ТСР/ТР каждого промежуточного І5К; 


6) этот адрес выбран произвольно, как не имеющий значения, потому что сообщение 
передается на основе меток МРГ5; 


в) для передачи сообщения стеку протоколов ТСРЛІР узла, после которого путь по- 
врежден. 

Протокол ВЕР” отличается от протокола ІР Ріпе следующими свойствами (выберите 

вариант ответа): 

а) он не может тестировать двусторонние пути; 

6) он проще в реализации; 

в) он не может локализовывать неисправности. 


Какой механизм отказоустойчивости МРІ.5 является более универсальным (выберите 
вариант ответа): 


а) защита линии; 
б) защита пути. 


Часть Мі 


Беспроводная 
передача данных 


О Глава 21. Технологии физического уровня беспроводных сетей 
О Глава 22. Беспроводные локальные и персональные сети 


О Глава 23. Мобильные телекоммуникационные сети 


Беспроводные компьютерные сети — это частный, хотя и очень важный случай компьютерных сетей, 
поэтому нужно понимать, что большая часть того, что написано в предыдущих главах, справедлива 
и вотношении беспроводных сетей. 


В первой главе этой части рассматриваются особенности физического уровня беспроводных линий 
связи, к которым относятся специфика передающей среды, диапазон и характер распространения 
электромагнитных волн, виды искажений и методы борьбы с ними. Поскольку ни один из узлов бес- 
проводной сети не может обойтись без антенны, устройствам данного типа в этой главе уделено 
много внимания, особенно методам передачи с использованием нескольких антенн на передающей 
и принимающей сторонах, так называемым технологиям ММО. В дополнение к описанным в главе 7 
методам кодирования, одинаково применимым к проводным и беспроводным сетям, в данной гла- 
ве рассматриваются технологии кодирования расширенного спектра ЕН55, 0555, СОМА и ОРОМ, 
которые были разработаны специально для беспроводной передачи. 


Содержание второй главы сфокусировано на беспроводных локальных сетях ММ-Е! (ІЕЕЕ 802.11), 
которые в секторе фиксированного беспроводного доступа к Интернету заняли такую же доминиру- 
ющую позицию, что и сети Епегпе{ в локальных сетях. Прогресс технологии М-Н! в области методов 
кодирования и применения техники ММО привел к повышению скоростей беспроводной передачи 
данных до величин, соизмеримых со скоростями Ећегпеї; этими достижениями ММ-Е! пользуются 
и мобильные сети последних поколений. В этой главе также рассматривается технология Віџеїооїћ, 
позволяющая многочисленным гаджетам, находящимся на небольших расстояниях, взаимодей- 
ствовать друг с другом. 


Глава, подытоживающая эту часть, рассматривает технологии мобильных сетей различных поколе- 
ний, от технологии второго поколения СЗМ/СРН$, которая была пионером в деле предоставления 
пользователям мобильных телефонов доступа к Интернету, до технологии четвертого поколения 
(ТЕ, в которой мобильная сеть стала полностью ІР-сетью. Завершает главу обзор технологии по- 
следнего, пятого поколения 56, которая обещает новые скорости доступа к Интернет и поддержку 
самых разнообразных типов услуг — для автоматизации технологических процессов, управления 
роботами и беспилотными автомобилями, а также многочисленных сервисов для «пользователей» 
Интернета вещей. 


ГЛАВА 21 Технологии физического 
уровня беспроводных 
сетей 


Беспроводные линии связи 


Преимущества беспроводных коммуникаций 


Возможность передавать информацию без проводов, привязывающих (в буквальном 
смысле этого слова) абонентов к определенной точке пространства, всегда была очень 
привлекательной. Доказательство тому — мобильная телефония. Первый мобильный 
телефон был изобретен еще в 1910 году Ларсом Магнусом Эрикссоном (Гагз$ Марпиѕ 
Егісѕѕоп). Этот телефон предназначался для автомобиля и был беспроводным только во 
время движения. Однако в движении им нельзя было пользоваться — для разговора нужно 
было остановиться, выйти из автомобиля и с помощью длинных жердей присоединить 
телефон к придорожным телефонным проводам (рис. 21.1). Понятно, что определенные 
неудобства и ограниченная мобильность воспрепятствовали коммерческому успеху этого 
вида телефонии. 


Рис. 21.1. Первый мобильный телефон 


Прошло много лет, прежде чем технологии радиодоступа достигли определенной степени 
зрелости и в конце 70-х обеспечили производство сравнительно компактных и недорогих 
радиотелефонов. С этого времени начался бум мобильной телефонии, продолжающийся 
до настоящего времени. 
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Впрочем, беспроводная связь не обязательно означает мобильность. Широко использует- 
ся так называемая фиксированная беспроводная связь, когда взаимодействующие узлы 
постоянно располагаются в пределах небольшой территории, например в определенном 
здании. Фиксированная беспроводная связь применяется вместо проводной, когда по 
какой-то причине невозможно или невыгодно использовать кабельные линии связи. 
Причины могут быть разными: малонаселенная или труднодоступная местность; здания, 
имеющие историческую ценность, стены которых непозволительно подвергать испытанию 
прокладкой кабеля; необходимость организации временной связи, например, при проведе- 
нии конференции в здании, в котором отсутствует проводной канал, имеющий достаточную 
для качественного обслуживания пропускную способность, ит. д. 


Если отличить беспроводную связь от проводной легко, то провести границу между 
фиксированной и мобильной связью не так просто. Понятно, есть крайние случаи, когда 
с полной уверенностью можно сказать, что связь фиксированная — например, фиксиро- 
ванная проводная связь мейнфрейма с маршрутизатором: мейнфрейм трудно сдвинуть 
с места, даже при большом желании, с маршрутизатором это можно сделать, но его пере- 
мещения ограничивает кабель, связывающий его с мейнфреймом. Очевидным случаем бес- 
проводной мобильной связи является связь мобильного телефона с сотовой сетью в том 
случае, когда пользователь телефона быстро перемещается между сотами сети, например 
в автомобиле. Однако есть сценарии, которые сразу трудно отнести к одной из категорий. 
Например, спутники, обеспечивающие доступ к Интернету наземным пользователям, явно 
являются мобильными объектами, так как они летят с большой скоростью над Землей. Но 
если они связываются друг с другом по протоколу ІР и их [Р-адреса остаются неизменными 
в течение всего времени их работы, то для протокола ТР их связь не является мобильной. 
Этот пример дает нам первый важный критерий для определения мобильности узлов теле- 
коммуникационной сети, а именно — приводит ли перемещение узла в пространстве к не- 
обходимости смены идентификатора узла, например ІР-адреса или номера телефона. Если 
да, то с точки зрения сети такое перемещение является мобильным, так как требует от сети 
особых мер. Эти меры могут быть направлены либо на динамическое назначение нового 
идентификатора узлу, либо на сохранение его старого идентификатора, но с перестройкой 
таблии маршрутизации в сети, так как системы маршрутизации как в компьютерных, так 
и втелефонных сетях были созданы в расчете на то, что идентификатор узла определяет его 
постоянное подключение к тому или иному маршрутизатору или коммутатору. Интерес- 
ным примером являются беспроводные сети \\1-Е1. В большинстве случаев своего приме- 
нения они являются сетями с фиксированным беспроводным доступом, так как перемещения 
пользователя этой сети ограничены одним помещением или зданием, такие перемещения 
не требуют изменения [Р-адреса узла, так как узел все время находится в зоне покрытия 
одной и той же ІР-подсети точки доступа сети \Л-Е1. В то же время сеть \М-Е1 может быть 
и мобильной, если ее точки доступа связаны в общую ІР-сеть с ІР-маршрутизацией между 
отдельными зонами покрытия точек доступа, которые в этом случае становятся аналогом 
сот мобильной телефонной сети. 


Имеется и еще один важный аспект мобильности — сохранение или разрыв существующих 
логических соединений между мобильным устройством и другими конечными узлами сети 
в процессе перемещений. Пример сохранения таких соединений — сотовая сеть, в которой 
телефонное соединение не разрывается при перемещении телефона пользователя между 
сотами. Противоположным примером является перемещение сотрудника предприятия 
между своей домашней сетью УМ -Е1 и сетью \М-Е1 офиса, когда он выключает свой ноутбук 
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перед выходом из дома и включает его в офисе. Это перемещение является мобильным для 
ІР-сети, так как ноутбук перемещается из одной ІР-подсети в другую и меняет при этом 
[Р-адрес. Но так как при этом сеть не должна сохранять активными все ТСР-соединения 
ноутбука во время перемещения, обеспечение мобильности в этом сценарии проще. 


Мобильность без сохранения активных связей может быть и проводной. Например, если 
в примере с перемещением ноутбука из дома в офис пользователь в обоих случаях вместо 
беспроводной связи \Л-Е! использует проводной Е(ћегпеѓ, то это будет пример мобильной 
проводной связи. 


На ранних этапах развития компьютерных сетей большая часть применений беспроводной 
связи была связана с ее фиксированным вариантом, в форме радиорелейных или спутнико- 
вых линий связи, связывающей центры присутствия операторов сети. Начиная с середины 
90-х достигла необходимой зрелости и технология мобильных компьютерных сетей. С по- 
явлением стандарта ІЕЕЕ 802.11 в 1997 году стало возможным строить мобильные сети 
УЛ-Е1, по функциональности близкие к Е\егпе и обеспечивающие как фиксированный, 
так и мобильный доступ пользователей. 


Развитие технологии сотовых телефонных сетей привело к тому, что эти сети стали очень 
широко использоваться для мобильного доступа к Интернету и, начиная с поколения 4С, 
стали скорее мобильными компьютерными сетями, чем мобильными телефонными сетя- 
ми, так как основной услугой в них стал доступ к Интернету, а телефонные услуги стали 
предоставляться также с использованием протокола [Р и Интернета. Предполагается, 
что следующее поколение мобильных сетей 5С, внедрение которого только начиналось 
во время написании этой книги, достигнет скорости 1-10 Гбит/с, а также резко снизит 
задержку сигнала до 1 миллисекунды. Это может способствовать технологическому про- 
рыву в областях, требующих практически мгновенной реакции: управление беспилотными 
автомобилями, системы виртуальной реальности, телемедицина, робототехника. 


Диапазоны электромагнитного спектра 


Характеристики беспроводной линии связи — расстояние между узлами, территория охва- 
та, скорость передачи информации и т. п. — во многом зависят от частоты используемого 
электромагнитного сигнала. На рис. 21.2 показаны диапазоны электромагнитного спектра. 
Обобщая, можно сказать, что они и соответствующие им беспроводные системы передачи 
информации делятся на четыре группы. 


О Диапазон до 300 ГГц имеет общее стандартное название — радиодиапазон. Союз ГТО 
разделил его на несколько поддиапазонов (они показаны на рисунке), начиная от сверх- 
низких частот (Ехгетеу Гом Егедиепсу, ЕГЕ) и заканчивая сверхвысокими (Ехіга 
Н1эВ Егедиепсу, ЕНЕ). Привычные для нас радиостанции работают в диапазоне от 
20 кГц до 300 МГц, и для этих диапазонов существует хотя и не определенное в стандар- 
тах, однако часто используемое название «широковещательное радио». Сюда попадают, 
в частности, низкоскоростные системы АМ- и ЕМ-диапазонов!, предназначенные для 
передачи данных со скоростями от нескольких десятков до сотен килобит в секунду. 
Примером могут служить радиомодемы, которые соединяют два сегмента локальной 
сети на скоростях 2400, 9600 или 19 200 Кбит/с. 


1 АМиЕМ — амплитудная и частотная модуляция соответственно. 
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Длина волны, м 108 10° 10* 10° 102 10' 1 10 102 103 10* 105 108 
Частота, Гц 10? 10° 107 108 10° 10". 10° 10 10. 10.30" 
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(г 300 | 3000 | 30 300 3000 30 300 
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поддиапазонов А диапазоны 
| ~ 
| | | / $ № 
а р е = 5 Ф 
| | — Е № 
Земные Яв 1”. а 2 | Прямые волны < 
И, | (поверхностные волны) БЕ 8 Е (волны поямой видимости) ) 
распространения — | МЕНЕ ОНИ: ос 8 ба у 
волн = Р 5 
ВА Мт 
| | МЫ. ЭЙ Ы о 
ў Спутники птиче- 
Примеры Подводная ! Мобильные Инфракрасные 
использования Р ања гар АМ-радио ЕМ-радио телефоны, наземная локальные сети а, 


радары связь 


Рис. 21.2. Диапазоны электромагнитного спектра. Стандартные диапазоны частот: 
ЕЁЕ — крайне низкие (КНЧ), УМЕ — ультранизкие (УНЧ), МЕР — очень низкие (ОНЧ), ШЕ — низкие (НЧ), 
МЕ — средние (СЧ), НЕ — высокие (ВЧ), МНЕ — очень высокие (ОВЧ), ОНЕ — ультравысокие (УВЧ), 
НЕ — сверхвысокие (СВЧ), ЕНЕ — крайне высокие (КВЧ) 


О Несколько диапазонов от 300 МГц до 3000 ГГц имеют также нестандартное название 
микроволновых диапазонов. Микроволновые системы представляют наиболее широ- 
кий класс систем, объединяющий радиорелейные линии связи, спутниковые каналы, 
беспроводные локальные сети и системы фиксированного беспроводного доступа, 
называемые также системами беспроводных абонентских окончаний (Мігејеѕѕ оса] 
оор, МІ). 


О Выше микроволновых диапазонов располагается инфракрасный диапазон. Микро- 
волновые и инфракрасный диапазоны также широко используются для беспроводной 
передачи информации. Так как инфракрасное излучение не может проникать через 
стены, системы инфракрасных волн служат для образования небольших сегментов 
локальных сетей в пределах одного помещения. 


О В последние годы видимый свет тоже стал применяться для передачи информации 
(с помощью лазеров). Системы видимого света используются как высокоскоростная 
альтернатива микроволновым двухточечным каналам для организации доступа на не- 
больших расстояниях. 


Распространение электромагнитных волн 


Прежде всего вспомним о нескольких важных физических явлениях, связанных с рас- 
пространением волн вообще и электромагнитных волн в частности. На рис. 21.3 показано, 
что сигнал, встретившись с препятствием, может распространяться в соответствии с тремя 
механизмами: отражением, дифракцией и рассеянием. Когда сигнал встречается с пре- 
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пятствием, частично прозрачным для данной длины волны и в то же время имеющим 
размеры, намного превышающие длину волны, часть энергии сигнала отражается от это- 
го препятствия. Если сигнал встречает непроницаемое для него препятствие (например, 
металлическую пластину) намного большего размера, чем длина волны, то происходит 
дифракция — препятствие как бы огибается сигналом, что позволяет получить его, даже 
не находясь в зоне прямой видимости. И наконец, при встрече с препятствием, размеры 
которого соизмеримы с длиной волны, сигнал рассеивается, распространяясь под раз- 
личными углами. 


Рис. 21.3. Отражение, дифракция и рассеивание электромагнитной волны 


Идеальной средой распространения электромагнитных волн является вакуум, однако в ре- 
альной жизни сигналы чаще передаются через атмосферу, которая является нестабильной 
и неоднородной средой, состоящей из многих слоев, обладающих разными проводящими 
свойствами. Свойства реальной передающей среды в сочетании с частотными характери- 
стиками передаваемых сигналов определяют несколько основных способов распростране- 
ния электромагнитных волн (рис. 21.4). 


Земные, или поверхностные, волны распространяются вдоль земной поверхности. Следуя 
более-менее рельефу местности, они могут проходить большие расстояния, до нескольких 
сотен километров, далеко за линию видимого горизонта. Этот способ распространения 
волн характерен для электромагнитного излучения низкой частоты — 00 2 МГц . Электро- 
магнитные волны этой частоты рассеиваются в атмосфере таким образом, что не проникают 
в верхние слои атмосферы. Самым известным примером земной волны является сигнал 
АМ-радио из диапазона длинных волн. Основной причиной того, что волны следуют по- 
верхности земли, является дифракция. В данном случае непроницаемым препятствием 
намного большего размера, чем длина волны, является выпуклость земли. Способность 
волны огибать препятствие зависит от соотношения длины волны и размера препятствия; 
чем меньше это отношение, тем слабее проявляется дифракция. Отсюда понятно, что для 
электромагнитных сигналов высокой частоты эффектом дифракции можно пренебречь. 


Ионосферные (пространственные) волны характерны для сигналов средних и высоких 
частот от 2 до 30 МГц. Сигналы, излучаемые базирующейся на земле антенной, отра- 
жаются ионосферой (менее плотным ионизированным верхним слоем атмосферы) на 
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Рис. 21.4. Способы распространения электромагнитных волн 


землю, и потому могут распространяться далеко за видимый горизонт, на расстояния, даже 
большие, чем поверхностные волны. При достаточной мощности передатчика радиоволны 
этих диапазонов за счет многократного отражения от ионосферы могут даже обогнуть 
земной шар. Ионосферные волны широко используются в радиовещании и в особенности 


международном радиовещании — например, такими компаниями, как Би-би-си (ВВС 
Кааіо Мог]а Ѕегуісе). 


Прямые волны, или волны прямой видимости, как это следует из их названия, распростра- 
няются только по прямой, от передатчика к приемнику. При этом последние могут быть 
расположены как на земле, так и в космосе. Такой тип распространения волн свойственен 
электромагнитным сигналам с частотой выше 30 МГц — они не могут ни отражаться ионо- 
сферой, ни огибать выпуклости Земли. При частоте свыше 4 ГГц их подстерегает непри- 
ятность: они начинают поглощаться водой, а это означает, что не только дождь, но и туман 
могут стать причиной резкого ухудшения качества передачи микроволновых систем. 
Инфракрасный и видимый свет могут быть переданы только вдоль прямой видимости, 
так как они не проходят через стены. 


Тропосферные волны могут порождаться излучением очень высокой и ультравысокой 
частоты (30 МГи — 3 ГГц). Как было сказано выше, электромагнитные сигналы из этого 
диапазона не могут отражаться ионосферой. Однако они способны распространяться путем 
преломления и рассеяния на неоднородностях тропосферы — ближайшем к земле слое 
атмосферы. Тропосферные неоднородности — это области пространства, воздух в которых 
в некоторые моменты времени имеет температуру, давление и влажность, отличающиеся 
от средних для окружающей среды значений. Тропосферные волны позволяют передавать 
сигнал, хотя и весьма слабый, на расстояние до 1000 км. 


Чем выше несущая частота, тем выше возможная скорость передачи информации. Потреб- 
ность в скоростной передаче информации является превалирующей, поэтому все современ- 
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ные системы беспроводной передачи информации работают в высокочастотных диапазонах, 
начиная с 800 МГц, несмотря на преимущества, которые сулят низкочастотные диапазоны 
благодаря распространению сигнала вдоль поверхности земли или отражения от ионосферы. 


Борьба с искажениями сигнала 
в беспроводных линиях связи 


Отказ от проводов и обретение мобильности приводит к высокому уровню помех в бес- 
проводных линиях связи. Если интенсивность битовых ошибок (ВЕК) в проводных линиях 
связи равна 10-9—10-10, то в беспроводных линиях связи она достигает величины 10-3! 
В городских условиях в диапазоне частот полезного сигнала обычно имеется большое 
количество помех, например от систем зажигания автомобилей, от различных бытовых 
приборов. 


В результате дифракции, отражения и рассеяния электромагнитных волн, которые повсе- 
местно встречаются при беспроводной связи в городе, приемник может получить несколько 
реплик одного и того же сигнала, прошедших к приемнику разными путями. Такой эффект 
называется многолучевым распространением сигнала (тира ѕірпа! ргоравайоп). При 
каждом отражении сигнал может изменять фазу, амплитуду и угол прибытия на приемник. 
Результат многолучевого распространения сигнала часто оказывается отрицательным, по- 
скольку сигналы могут прийти в противофазе и подавить основной сигнал. 


Так как время распространения сигнала вдоль различных путей является в общем случае 
различным, то может также наблюдаться межсимвольная интерференция — ситуация, 
когда в результате задержки сигналы, кодирующие соседние биты данных, доходят до 
приемника в течение интервала времени, отведенного для приема одного символа. Сигнал, 
полученный в результате наложения соседних сигналов, приемник может декодировать 
неверно. 


Искажения из-за многолучевого распространения приводят к ослаблению сигнала — этот 
эффект называется многолучевым замиранием ({а41п5). Известно, что при распростра- 
нении электромагнитных волн в свободном пространстве (без отражений) затухание 
мощности сигнала пропорционально произведению квадрата расстояния от источника 
сигнала на квадрат частоты сигнала. В городах многолучевое замирание приводит к тому, 
что ослабление сигнала становится пропорциональным не квадрату расстояния, а его кубу 
или даже четвертой степени! 


Проблема высокого уровня помех беспроводных каналов решается различными способами. 
Важную роль играют рассматриваемые далее технологии широкополосного сигнала. Эти 
технологии основаны на распределении энергии сигнала в широком диапазоне частот, так 
что узкополосные помехи не оказывают существенного влияния на сигнал в целом. Для 
распознавания сигнала, искаженного из-за его многолучевого распространения, применя- 
ются различные способы обработки, компенсирующие межсимвольную интерференцию. 
Одним из них является адаптивное выравнивание сигнала (а4ариуе едиа[і2іпе, рис. 21.5). 


Идея заключается в суммировании сигнала, измеренного через равные промежутки вре- 
мени Л в течение одного такта передачи символа кода. Перед суммированием значения 
сигнала умножаются на свой весовой коэффициент С;. Значение сигнала, полученного 
после суммирования и называемого выровненным сигналом, считается значением бита 
переданного кода в данном такте. 


Глава 21. Технологии физического уровня беспроводных сетей 677 


Исходный сигнал 
Е 
0), 
Выровненный (х)«— с, 
сигнал 


Рис. 21.5. Адаптивное выравнивание сигнала 


Выбор веса выполняется адаптивно, с использованием заранее известного двоичного кода, 
называемого тренировочной последовательностью. Передатчик вставляет эту последова- 
тельность после каждого блока пользовательских данных определенной длины. Приемник 
применяет к тренировочной последовательности тот же алгоритм выравнивания, что 
и к пользовательским данным, сравнивает значение полученной последовательности бит 
с ожидаемой тренировочной последовательностью; если они отличаются, то вычисляются 
новые значения весовых коэффициентов. 


Большую роль играет и применение самокорректирующихся кодов ЕЕС. Радиосвязь всегда 
была пионером этой техники — частота возникновения битовых ошибок здесь гораздо выше, 
чем в проводной передаче денных. Еще одним приемом является применение протоколов 
с установлением соединения и повторными передачами кадров на канальном уровне стека 
протоколов. Эти протоколы позволяют быстрее корректировать ошибки, так как работают 
с меньшими значениями тайм-аутов, чем корректирующие протоколы транспортного уров- 
ня, такие как ГСР. И наконец, передатчики сигнала (и приемники, если это возможно) ста- 
раются разместить на высоких башнях (мачтах), чтобы избежать многократных отражений. 


Лицензирование 


Проблема разделения электромагнитного спектра между потребителями требует иентра- 
лизованного регулирования. В каждой стране есть специальный государственный орган, 
который (в соответствии с рекомендациями ГГО) выдает лицензии операторам связи на 
использование определенной части спектра, достаточной для передачи информации по 
определенной технологии. Лицензия выдается на определенную территорию, в пределах 
которой оператор задействует закрепленный за ним диапазон частот монопольно. 


Существуют также три частотных диапазона, 900 МГц, 2,4 ГГц и 5 ГГц, которые рекомен- 
дованы ГТО как диапазоны для международного использования без лицензирования!. Эти 
диапазоны выделены промышленным товарам беспроводной связи общего назначения, 
например устройствам блокирования дверей автомобилей, научным и медицинским при- 
борам. В соответствии с назначением эти диапазоны получили название 1$М-диапазонов 
(Іпаиѕігіа], Ѕсіепёіћс, Меса] — промышленность, наука, медицина). Диапазон 900 МГц 
является наиболее «населенным», поскольку низкочастотная техника всегда стоила дешев- 


! Диапазоны 900 МГци 5 ГГц свободны от лицензирования не во всех странах. 
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ле. Сегодня активно осваивается диапазон 2,4 ГГц, например, в технологиях [ЕЕЕ 802.11 
и Вшетоо" 1. Сети 5С будут работать в различных диапазонах частот, в том числе и в высо- 
кочастотных диапазонах 26 —29 ГГц. Обязательным условием использования этих диапа- 
зонов на совместной основе является ограничение максимальной мощности передаваемых 
сигналов уровнем 1 Ватт. Это условие сокращает радиус действия устройств, чтобы их 
сигналы не стали помехами для других пользователей, которые, возможно, задействуют 
тот же диапазон частот в других районах города. 


Антенны 


Поскольку при беспроводной связи информационные сигналы передаются не в медном 
проводнике или оптоволокне, а в атмосфере или любой другой ненаправленной среде рас- 
пространения электромагнитных колебаний, то обязательным элементом беспроводной 
линии связи является антенна. 


Антенна — устройство, предназначенное для приема и передачи электромагнитных волн. 
Если линия связи предназначена для работы в обоих направлениях, то одна и та же антенна 
может использоваться как для приема, таки для передачи, при условии, что характеристи- 
ки поступающих и излучаемых электромагнитных волн одинаковы. 


Каждый узел беспроводной сети имеет беспроводной сетевой адаптер, который включает 
в себя приемник и/или передатчик, связанные с антенной. 


При передаче источник генерирует модулированные сигналы — например, переменный 
электрический ток в соответствии с потоком передаваемых битов. Этот сигнал проходит 
по токопроводящим частям антенны, в результате чего вокруг них образуется переменное 
электромагнитное поле, порождающее электромагнитную волну, распространяющуюся от 
антенны в пространство. 


При приеме происходит обратный процесс — энергия электромагнитной волны, падающей 
на антенну, возбуждает ток в токопроводящих элементах антенны, который поступает 
в приемник. Приемник выполняет декодирование полученного информационного сигнала. 


Заметим, что антенна не усиливает сигнал, но она может направлять излучение преиму- 
щественно в каком-то направлении. Как, например, человек, говорящий в простейший 
рупор, не может превзойти своих голосовых возможностей, но, направив все звуковые 
волны в желаемом направлении, он может сделать свое выступление более громким. Такой 
же эффект достигается при использовании абажуров, концентрирующих освещение в тех 
или иных местах комнаты. 


Антенна, излучающая волны одинаково во всех направлениях, называется всенаправлен- 
ной, или ненаправленной, или изотропной антенной. Однако чаще антенны излучают 
сигналы разной интенсивности в разных направлениях. Они называются направленными 
антеннами. Заметим, распространение излучения во всех направлениях можно также обе- 
спечить несколькими направленными антеннами. 


Хотя, как отмечено, антенны не усиливают сигнал, существует характеристика антенны, 
называемая коэффициентом усиления. В данном случае коэффициент усиления антенны, 
или коэффициент направленного действия антенны (апѓеппа 5а1п), означает отношение 
выходной мощности, излучаемой данной антенной в определенном направлении, к вы- 
ходной мощности, излучаемой идеальной изотропной антенной в любом направлении, при 
условии, что на вход обеих антенн поступают с передатчиков равные по мощности сигналы. 
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Коэффициент усиления антенны К измеряется в децибелах, то есть К=10 15 (р/Ризотр.), где 
р — мощность выходного сигнала тестируемой антенны в некоторой точке пространства, 
а Ризотр. — мощность изотропной антенны. Например, если коэффициент усиления неко- 
торой антенны равен ЗдБ, то 18(р/Ризотр) = 0,3, р/Ризотр = 1093, что составляет примерно 2. 
Другими словами, если коэффициент усиления интересующей нас антенны в некотором 
направлении равен З дБ, то излучаемая ею мощность в этом направлении в два раза пре- 
восходит мощность излучения эталонной изотропной антенны. Такой выигрыш в мощ- 
ности получен не за счет усиления, а за счет перераспределения энергии сигнала путем 
уменьшения излучения в других направлениях. Графическое представление зависимости 
коэффициента усиления антенны от пространственных координат называют диаграммой 
направленности антенны. Диаграммы являются трехмерными объектами, но часто более 
удобно работать с их двумерными проекциями. 


Так как излучение идеальной изотропной антенны одинаково по всем направлениям, ее 
диаграмма направленности является сферой, в центре которой находится излучатель 
(рис. 21.6, а). На рисунке показана проекция сферы, из центра которой к поверхности 
направлены два произвольных вектора, имеющих одинаковую длину, что показывает, что 
мощности сигнала в соответствующих точках равны: Р, = Р› 


На рис. 21.6, 6 показана антенна диполь (антенна Герца), состоящая из двух равных соосных 
отрезков проводника — проводов или стержней, разделенных небольшим промежутком. 
Диаграмма направленности диполя имеет форму тора и в целом весьма близка к сфериче- 
ской диаграмме изотропной антенны. Действительно, если смотреть на антенну вдоль оси, 
по которой расположены два горизонтальных отрезка антенны, то в поперечном сечении 
(плоскость 2—х) диаграммы направленности мы увидим такой же круг (он не показан на 
рисунке), как и для идеальной изотропной антенны. То есть в направлениях, перпендику- 
лярных оси антенны, сигнал излучается равномерно во все стороны. В вертикальном разре- 
зе (плоскость у—х) диаграмма имеет форму восьмерки. Здесь в направлении, указываемом 
вектором Р излучается меньшая мощность, чем в направлении Р». То есть в этой плоскости 
диполь излучает неравномерно: чем ближе к оси антенны, тем меньше излучение. Обычно 
диполь относят к слабонаправленным или всенаправленным антеннам. 


Антенной с ярко выраженной направленностью является параболическая антенна. Ис- 
точник излучения (рис. 21.7) помещается в фокусе параболического отражателя. В теории 
лучи, исходящие из фокуса параболы, отражаются поверхностью антенны параллельно 
друг другу. Чем больше диаметр антенны, тем более направленным является излучаемый 
сигнал. Антенны такого типа широко используются в качестве домашних спутниковых 
антенн («тарелок»), в радиотелескопах и в спутниковых системах связи. 


Имея диаграмму направленности антенны, можно легко определить преимущественное 
направление, в котором эта антенна излучает электромагнитные волны. Угол, в пределах 
которого мощность, излучаемая антенной, не меньше, чем половина мощности, излучаемой 
в наиболее преимущественном направлении, называют шириной диаграммы направлен- 
ности, или углом излучения антенны (Беат \л (В). Для принимающей антенны угол из- 
лучения указывает на направление, способствующее наилучшему приему. 


Процесс излучения антенны зависит от длины ее излучающих частей или, точнее, от того, 
как эта длина соотносится с длиной волны излучаемого или принимаемого электромаг- 
нитного сигнала. Например, диполь будет наиболее эффективно принимать/передавать 
сигналы с длиной волны А, если он имеет длину Л/2. Другим примером является антенна 
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Рис. 21.6. Диаграммы направленности изотропной антенны и антенны диполя 


Парабола 


а 6 


Рис. 21.7. а — отражательные свойства параболической поверхности; 
б — диаграмма направленности параболической антенны 


монополь (антенна Маркони) — в простейшем случае это вертикально устанавливаемый 
отрезок провода или стержня длиной А/4, где \ — длина волны принимаемого сигнала 
(такого типа антенны использовались, например, в портативных радиоприемниках). 
Поскольку при ненаправленном распространении электромагнитные волны заполняют 
все пространство (в пределах определенного радиуса, определяемого затуханием сигна- 
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ла), это пространство может служить разделяемой средой. Разделение среды передачи 
порождает те же проблемы, что и в локальных сетях, однако здесь они усугубляются 
тем, что пространство, в отличие от кабеля, является общедоступным, а не принадлежит 
одной организации. 


Прием и передача с использованием 
нескольких антенн (ММО) 


Для повышения скорости, дальности передачи и помехозащищенности линий связи ис- 
пользуются разнообразные методы, включая повышение мощности сигнала, различные 
способы модуляции и кодирования, частотное и временное мультиплексирование, на- 
ложение фильтров и др. Наряду со всеми этими возможностями еще одним, действенным 
ресурсом для улучшения характеристик беспроводного обмена данными стало увеличение 
числа антенн (и соответственно передатчиков и приемников) при построении линии связи. 


Беспроводные технологии, разработанные для эффективного использования в одной линии 
связи нескольких передатчиков и приемников, называют технологиями ММО (Мшар|е- 
Іп Мшаре-Оць, буквально «несколько входов, несколько выходов»). Термин ММО 
часто используется в более узком смысле, о чем будет сказано ниже. Технологии ММО 
существуют уже не один десяток лет, но сейчас, с появлением мобильных сетей, особенно 
поколений 4С и 5С, они переживают второе рождение. МІМО используются и в локаль- 
ных сетях, уже стало обычным наличие 3—4 антенн в точках доступа \М-ЁЕ1 (802.11п/ас). 


Конфигурации систем с несколькими антеннами 


В зависимости от числа антенн линии связи могут иметь следующие конфигурации 
(рис. 21.8): 


О МІМО (МшарЕе-ш Мшар!е-Оц® — наиболее общая конфигурация линии связи, име- 
ющая несколько передающих и несколько приемных антенн, остальные конфигурации 
представляют собой частные случаи ММО; обозначение МХМ МІМО означает систему 
с М передатчиками и М приемниками; 


О 8180 (5іпрІе-Іприќ Зше-Ошри) — традиционная схема беспроводной линии с одним 
передатчиком и одним приемником; 


О МІЅО (Мшаре-шри Ѕіпреіе-Оиѓриѓ) — линия связи с несколькими передатчиками 
и одним приемником. Основная задача в системах такой конфигурации — формирова- 
ние оптимального выходного сигнала путем цифровой настройки передающих антенн; 


О 8ЅІМО (Зш&е-шриё шшШар|е-ошри®) — линия связи с одним передатчиком и несколь- 
кими приемниками. Сигнал с одной антенны передатчика поступает в приемник в виде 
нескольких реплик, полученных в результате многолучевого распространения. Главной 
задачей для такой конфигурации является извлечение приемником дополнительной 
информации из сигналов, поступивших на избыточные антенны, и ее использование 
для более качественного воспроизведения исходного сигнала. 


1 О разделяемой среде передачи см. главу 2. 
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Рис. 21.8. Варианты конфигурации систем в зависимости от числа антенн 


В широком смысле термин ММО относится ко всем конфигурациям, кроме 5150, 
а в узком — только к одной из них, собственно ММО, которая единственная обладает 
структурой, имеющей потенциал для повышения пропускной способности линии связи 
за счет организации передачи несколькими параллельными потоками данных. Избыточные 
антенны систем МІЅО и $ МО не могут быть использованы для параллельной передачи, 
а значит, и для повышения пропускной способности линии, однако они могут служить для 
улучшения качества передачи данных. 


Еще одна конфигурация — многопользовательский МО-МІМО — соответствует ситуации, 
когда на приемной стороне работает несколько пользователей, каждый из которых в общем 
случае оснащен несколькими антеннами (рис. 21.9). В большинстве беспроводных линий 
связи типа «один-ко-многим» (например, связь маршрутизатора сети УЛ-ЁЕ! с мобильными 
устройствами пользователей!) в каждый момент времени обслуживается запрос только 
одного пользователя. Системы МО-МІМО частично снимают это ограничение, поддер- 
живая несколько одновременных информационных потоков с разными пользователями. 
Параллельные потоки могут быть организованы и в обратном направлении — от мобиль- 
ного устройства одного пользователя к нескольким передающим станциям (Соорегайуе 
МІМО, или СО-ММО). Запрос на такого типа связи особенно высок в современных 
мобильных сетях. 


Технологии МІМО условно можно разделить на два класса (рис. 21.10): 


О технологии, базирующиеся на концепции пространственного разнесения. В этих тех- 
нологиях несколько антенн принимают или передают разные реплики одних и тех же 
информационных сигналов; увеличение числа антенн служит повышению качества 
приема, однако скорость передачи ненамного выше, чем в системах 5150; 


1 См. главу 22. 
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О технологии, базирующиеся на концепции пространственного мультиплексирования. 
Они предназначены для организации в одном канале передачи нескольких независимых 
информационных потоков, за счет чего повышается пропускная способность линии 
связи, но возрастает вероятность ошибки. 
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1 


Передатчик 
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Передатчик 
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Рис. 21.9. Конфигурации систем МІМО с несколькими пользователями и несколькими 


передающими станциями 
аи ое ода 

Передатчик Раза Приемник Передатчик 2 Приемник 

Рис. 21.10. а) пространственное разнесение; б) пространственное мультиплексирование 


а б 


Пространственное разнесение 


В основе идеи использования нескольких антенн при пространственном разнесении ле- 
жит эффект многолучевого распространения сигнала — в отсутствие прямой видимости 
передаваемый сигнал доходит до приемника в виде нескольких реплик, каждая из которых 
пришла в приемник своим путем, отражаясь от различных препятствий (стен, потолков, 
поверхности земли, слоев атмосферы и др.). В результате отражений в каждую реплику 
исходного сигнала вносятся временные задержки, фазовые сдвиги, затухание и другие ис- 
кажения. В зависимости от сочетания искажений в разных репликах, при их наложении 
в приемнике могут возникать разные эффекты — как конструктивные, так и деструктивные. 
Например, синусоидальные сигналы, сдвинутые по фазе на величину, близкую т, взаим- 
но компенсируют друг друга, а на 2л — вдвое усиливают друг друга. Ранее многолучевое 
рассеяние рассматривалось только в негативном аспекте, как источник помех и причина 
замедления передачи. Но, оказывается, многолучевое распространение можно использовать 
конструктивно, что и сделано в технологиях МІМО. 


Рассмотрим простой пример. Если на приемнике имеется только одна антенна, то в отсут- 
ствие информации о путях прохождения сигнала сложно предсказать заранее, как скажется 
на принятом сигнале многолучевой эффект — не исключено, например, что это будет за- 
мирание. Если же установить на приемнике несколько антенн, то можно гарантировать, 
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что возникновение замирания одновременно на всех них принципиально исключается, 
азначит, можно выбрать один сигнал, лучший по определенному критерию, например, име- 
ющий наибольшую мощность. В более развитых системах, например, использующих метод 
оптимального весового сложения (Махипта!-Кайо СотЫіпіпе, МКС), приемник выполняет 
для полученных сигналов процедуру адаптивного выравнивания, затем сравнивает их, на- 
значая каждому весовой коэффициент в соответствии с его качеством. Результирующий 
сигнал получается путем взвешенного сложения и обладает улучшенным соотношением 
сигнал/шум, что в некоторых случаях позволяет увеличить скорость передачи. Таким 
образом, наличие нескольких реплик сигнала, принятых несколькими антеннами, в сово- 
купности дает значительный объем дополнительной информации, которая теоретически 
делает возможной организацию более надежного канала связи, чем в системах $1$0. 
Проиллюстрируем сказанное простой аналогией. Каждую антенну на приемной стороне 
можно сравнить со свидетелем некоего происшествия. Субъективные показания каждого 
отдельного свидетеля содержат много искажений, но следователь (приемник), учитывая 
и сопоставляя все свидетельства (реплики сигналов с каждой антенны), строит более 
адекватную картину произошедшего (исходный сигнал). 


Пространственное разнесение как прием, заключающийся в использовании нескольких 
антенн для повышения качества и надежности беспроводной линии связи, может исполь- 
зоваться как на приемной стороне — разнесенный прием (как в примере выше), так и на 
стороне передающих систем — разнесенная передача (в последнем случае множество антенн 
формируют оптимальный выходной сигнал). Чем больше пространственно разнесенных 
реплик сигнала имеется в распоряжении приемника, тем более качественную картину он 
может из них извлечь. Если беспроводной канал имеет М передающих антенн и М приемных 
антенн, то максимально возможное количество «разнесений» равно числу каналов передачи, 
то есть произведению М х М. 


Примером пространственного разнесения на передающей стороне является адаптивная 
передача. Адаптивность заключается в том, что приемник формирует на каждой из вы- 
ходных антенн сигналы с такими характеристиками, которые, поступив на антенны при- 
емника, обеспечивают максимально возможное высокое качество приема. Для решения 
этой задачи передатчик выполняет предварительную процедуру калибровки каналов 
передачи, включающую запрос к приемнику о том, с каким качеством к нему поступают 
сигналы с каждой из передающих антенн. На основании полученной от приемника ин- 
формации передатчик вычисляет матрицу параметров, элементы которой соответствуют 
всем сочетаниям {номер передающей антенны, номер принимающей антенны}. Параметры 
могут, в частности, включать амплитуду, фазу, мощность для каждого сигнала. В отличие от 
метода оптимального весового сложения, в котором основная тяжесть принятия решений 
и обработки сигналов возлагается на приемную сторону, при адаптивной передаче актив- 
ную роль играет передающая сторона. 


Формирование диаграммы направленности 
и предварительное кодирование 


Направленные антенны являются традиционным средством повышения уровня сигнала 
и уменьшения помех, позволяя получить выигрыш в мощности за счет перераспределения 
энергии сигнала путем уменьшения излучения в других направлениях. Фокусировка энергии 
передатчика на приемнике называется формированием диаграммы направленности, или 
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формированием луча (ВеатЮгтил5). В технологиях ММО эта цель достигается простран- 
ственным разнесением. Антенная решетка (специальным образом организованный массив 
антенн) генерирует пространственно-направленный сигнал так, чтобы максимизировать 
мощность сигнала на входе приемника и уменьшить помехи от многолучевого распростра- 
нения сигнала. Фокусировка луча выполняется путем выбора оптимальных значений фазы 
составляющих сигналов на основании информации о состоянии канала передачи. 


ПРИМЕЧАНИЕ 


В отличие от линий связи 5150, в которых передатчик и приемник связаны одним каналом передачи 
данных, в системах с несколькими антеннами имеется набор пространственных каналов, отражающий 
все возможные связи между передающими и приемными антеннами. Совокупность характеристик 
путей составляет информацию о состоянии канала (сһаппе! ѕќаќе іпѓіогтайоп, С$Г). С$[ характе- 
ризует различные свойства канала: затухание мощности, распределение замирания, коэффициент 
усиления антенны и др. Для получения СІ система использует тестирующие сигналы. В мобильных 
системах процедура оценки канала должна выполняться достаточно часто, чтобы учесть изменение 
взаимного пространственного расположения передатчика и приемника. Для снижения накладных 
расходов при проведении тестирования должна учитываться ее конфигурация. Так, в системах 
МІЅО, тестирующих сигнал с тем, чтобы обеспечить более рациональную отправку от приемника, 
можно ограничиться одним сигналом для всех антенн, при этом количество антенн в передающем 
устройстве не увеличивает сложность оценки канала. Во многих методах ММО оценка состояния 
канала является неотъемлемым элементом. От того, имеется ли в распоряжении приемника и/или 
передатчика информация о состоянии канала, зависит алгоритм принимаемых решений. Например, 
если информация о каналах известна, то имеется возможность дифференцированно распределять 
мощность сигнала в зависимости от качества соответствующего канала; если же такой информации 
нет, то мощность распределяется равномерно. 


Формирование диаграммы направленности может выполняться как аналоговыми, так 
и цифровыми средствами. При аналоговом формировании радиолуча один и тот же сигнал 
подается на каждую антенну решетки, а затем аналоговые фазовращатели управляют сиг- 
налом, излучаемым всем массивом антенн. При цифровом формировании луча на разные 
антенны решетки подаются разные сигналы, так достигается большая гибкость — разным 
антеннам можно назначать не только разные фазы и коэффициенты усиления, но также 
частотные полосы. Когда приемник имеет несколько антенн, максимизация сигнала сразу 
на каждой из антенн может быть достигнута только за счет организации нескольких инфор- 
мационных потоков (то есть с использованием пространственного мультиплексирования). 


Желаемая форма луча в основном зависит от того, на каком расстоянии находится при- 
емное устройство. Наибольший эффект достигается на средних расстояниях от антенны, 
поскольку рядом с передатчиком его энергии достаточно и без усиления направленностью, 
а на больших расстояниях мощность сигнала настолько ослабляется, что скорость передачи 
данных будет такой же, как если бы формирование луча отсутствовало. В некоторых си- 
туациях, например, при передаче широковещательного и группового трафика, предпочти- 
тельным оказывается традиционный всенаправленный режим работы антенн. Примером 
систем с развитыми функциями формирования диаграмм направленности являются так 
называемые Маѕѕіуе МИМО (или Еш! Оипепз1опт ЕО-М МО). Для этих систем характерно 
использование большого количества антенн (не менее 32), а также поддержка много- 
пользовательского режима МО-МІМО. Массив динамических антенн создает диаграммы 
направленности как в горизонтальном, так и в вертикальном направлении, что позволяет 
фокусировать энергию в нескольких отдельных точках пространства (рис. 21.11). 
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Массив антенн 


9 1 і 


Рис. 21.11. Формирование диаграммы направленности системой Маззме ММО 


Для цифрового формирования диаграммы направленности часто используется более общий 
термин предварительное кодирование (рге-со4 11$), обозначающий технологии, кото- 
рые в дополнение к выбору направленности решают задачу выбора мощности передачи. 
В методах предварительного кодирования, как и при формировании луча, используется 
информация о состоянии СІ, что ограничивает область их применения. 


Пространственно-временное кодирование ($ТС) 


Одним из наиболее популярных подходов к пространственному разнесению является 
пространственно-временное кодирование (зрасе-ите сойіпе). Описание алгоритмов, 
базирующихся на данном подходе, включает не самые тривиальные математические вы- 
кладки, поэтому ограничимся кратким пояснением общей идеи одного из вариантов про- 
странственно-временного кодирования, а именно метода пространственно-временного 
блочного кодирования (Ѕрасе-Тіте ВІоск Сойіпе, 5ТВС). Цель метода — повышение 
скорости передачи и снижение вероятности ошибок — достигается в том числе за счет 
введения в код избыточности. 


При использовании пространственно-временного блочного кодирования поток данных 
разделяется на блоки и поблочно кодируется перед передачей. Затем блоки данных рас- 
пределяются между набором антенн (что обеспечивает пространственное разнесение) 
и излучаются антеннами в течение нескольких временных интервалов (разнесение 
во времени). Таким образом, кодирование может быть представлено в виде матрицы, 
столбцы которой соответствуют временным интервалам, а строки — передачам данных 
с конкретных антенн. На стороне приемника выполняется цифровая обработка получен- 
ных сигналов, включающая декодирование с последующей сборкой, для восстановления 
исходного потока. 


Частным случаем ЭТВС является классический метод Аламоути (А|]атоци), предна- 
значенный для использования в системах с двумя передающими антеннами и одной или 
двумя принимающими (МІМО 2х2 или МІЅО 2х1 соответственно) и применяемый, когда 
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информация о канале СЗ] неизвестна. Исходная последовательность бит модулируется 
и представляется в виде последовательности символов, символы разделяются на пары, на- 
пример х1 их2 (рис. 21.12). В первый временной интервал символ хі передаются с первой 
антенны, а символ х2 — со второй. В следующем интервале таким же образом передается их 
комплексные сопряжения: х2* их1*. В результате сигналы, переданные с двух этих антенн, 
оказываются ортогональными друг другу по фазе. Ортогональность позволяет выделить 
сигналы хі и х2 из полученного суммарного сигнала. Пространственное разнесение за счет 
двух антенн и временное разнесение за счет двух интервалов увеличивает результирующий 
сигнал на приеме. Избыточность в данном случае выражается в том, что каждый символ 
передан два раза. 
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Рис. 21.12. Алгоритм Аламоути: а) блоки данных, разделенные во времени и пространстве; 
б) излучение пары символов 


Пространственное мультиплексирование ($М) 


Одной из важнейших задач при построении современных беспроводных сетей связи явля- 
ется разработка высокоскоростных каналов. Как известно, скорость передачи информации 
в канале с заданной полосой частот ограничивается формулой Шеннона: 


С = Е 198>(1 + Рс/Рш) или С/Е = 1952(1 + Рс/Рш), где Е — ширина полосы пропускания 
в герцах, Рс — мощность сигнала, Рш — мощность шума. 


Увеличить пропускную способность С линии связи можно, увеличив мощность сигнала 
или уменьшив уровень помех. Но влияние этих параметров ограничено логарифмической 
зависимостью. Так, для увеличения пропускной способности только на 1 бит/с (в расчете 
на 1 Гц полосы частот) требуется увеличить мощность сигнала примерно вдвое. К тому 
же во многих областях применения беспроводной связи существуют как технические, так 
и законодательные ограничения на мощность передающих устройств. Расширение полосы 
частот также не всегда возможно из-за административных ограничений. 


Рассмотренные выше технологии ММО, использующие несколько антенн для про- 
странственного разнесения, в основном нацелены на повышение качества передачи, 
то есть увеличение соотношения сигнал/шум — Рс/Рш. Рост числа антенн дает лишь 
медленное увеличение пропускной способности в соответствии со следующей оценкой 
С/Е ~ 1052(1 + М Рс/Рш), где М — число антенн. В этих условиях способность технологии 
пространственного мультиплексирования (Ѕрайа! Миирех!тв, 5М) в разы увеличивать 
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пропускную способность беспроводных каналов обеспечило ей почетное место в инду- 
стрии беспроводных сетей. 


В рассмотренных ранее способах мультиплексирования, основанных на разделении вре- 
мени (ТОМ), частотного диапазона (ЕЭМ) или даже волны (УМОМ), каждому потоку 
данных выделяются либо временные слоты, либо полоса частот. При пространственном 
мульгиплексировании все потоки передаются в той же самой полосе частот, и квантование 
времени отсутствует. В данном случае разделяемым ресурсом является пространство — 
исходный поток данных разделяется на несколько независимых подпотоков, каждый из 
которых передается отдельной антенной в своем «пространственном слоте». 


Пропускная способность системы ММО, работающей по технологии $М, растет линейно 
с ростом числа антенн СИЕ ~ К 10#>(1 + Рс/Рш), где К = тіп{№, М) — максимальное ко- 
личество пространственных потоков, М — число антенн передатчика, М — число антенн 
приемника. Если после образования пространственных потоков на приемнике остаются 
избыточные антенны, то они могут быть использованы для улучшения качества сигнала 
методами пространственного разнесения. 


Хотя теоретически увеличение числа антенн в п раз должно приводить к увеличению 
пропускной способности системы ММО $М вп раз, в реальности рост оказывается 
более медленным из-за того, что пространственные каналы не являются абсолютно неза- 
висимыми и вносят взаимные помехи. В ряде случаев, когда уровень шумов и замираний 
в канале весьма высок, метод пространственного мультиплексирования может вообще 
не дать ожидаемого выигрыша в пропускной способности из-за необходимости частых 
повторных передач ошибочных данных. Для метода ЗМ знание информации о состоянии 
канала СЗ] не является обязательным. 


Техника расширенного спектра 


Техника расширенного спектра разработана специально для беспроводной передачи 
и позволяет повысить помехоустойчивость кода для сигналов малой мощности за счет 
увеличения спектра передаваемого сигнала. Сигналы расширенного спектра более 
устойчивы к узкополосным внешним помехам, возникающим в беспроводной среде 
в случайные моменты времени и на различных случайных частотах. Подчеркнем, эти 
искажения имеют другую природу, нежели искажения, возникающие на краях диапазона 
из-за обрезания боковых гармоник сигнала слишком узкой полосой пропускания пере- 
дающей среды и ограничивающие пропускную способность канала. Расширение спектра 
полезного сигнала приводит к тому, что внешняя помеха искажает только несколько его 
гармоник, но сохранившиеся неискаженными гармоники позволяют правильно распоз- 
нать сигнал. Вместе с тем расширение спектра сигнала отдельного пользователя приво- 
дит к нежелательному эффекту — необходимости выделения для каждого пользователя 
более широкой полосы частот радиоэфира. Чтобы компенсировать этот нежелательный 
эффект, методы расширения спектра дополняются специфическими методами мульти- 
плексирования сигналов отдельных пользователей, которые и позволяют достичь баланса 
между двумя целями — обеспечения помехоустойчивости передачи и наиболее эффек- 
тивного разделения общего диапазона частот между многочисленными пользователями 
беспроводной сети. 


Далее рассматриваются несколько основных методов расширения спектра. 
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Расширение спектра скачкообразной 
перестройкой частоты ЕН$$ 


Идея метода расширения спектра скачкообразной перестройкой частоты (Егедиепсу 
Норріпе $ргеа4 Ѕресігит, ЕН55) возникла во время Второй мировой войны, когда радио 
широко использовалось для секретных переговоров и управления военными объектами, 
например торпедами. Чтобы радиообмен нельзя было перехватить или подавить узкопо- 
лосным шумом, было предложено вести передачу с постоянной сменой несущей в пределах 
широкого диапазона частот. В результате мощность сигнала распределялась по всему диа- 
пазону и прослушивание какой-то определенной частоты давало только небольшой шум. 
Последовательность несущих частот выбиралась псевдослучайной, известной только пере- 
датчику и приемнику. Попытка подавления сигнала в узком диапазоне также не слишком 
ухудшала сигнал, поскольку подавлялась только небольшая часть информации (рис. 21.13). 
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Последовательность перестройки частот: Ру-Рз-Рд-Рч-Ро-Ре-Р›-Ев-Р5-Ро 


Рис. 21.13. Расширение спектра скачкообразной перестройкой частоты 


Несущая частота меняется в соответствии с номерами частотных подканалов, вырабатываемых 
алгоритмом псевдослучайных чисел. Псевдослучайная последовательность зависит от некоторо- 
го параметра, который называют начальным числом. Если приемнику и передатчику известны 
алгоритм и значение начального числа, то они меняют частоты в одинаковой последовательности, 


На каждой несущей частоте для передачи дискретной информации применяются стан- 
дартные методы модуляции: ЕЅК или РЅК. Чтобы приемник синхронизировался с пере- 
датчиком, для обозначения начала каждого периода передачи некоторое время передаются 
синхробиты. Таким образом, полезная скорость этого метода кодирования оказывается 
меньше из-за постоянных накладных расходов на синхронизацию. Если частота смены под- 
каналов ниже, чем скорость передачи данных в канале, то такой режим называют медлен- 
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ным расширением спектра (рис. 21.14, а); в противном случае мы имеем дело с быстрым 


расширением спектра (рис. 21.14, 6). 


690 


= ----- 


Время 


с 
> 
Ф 
а 
ва 


х 
2 
3880 
Р 
п 2, 
Ч | 
х 
(0 Я 
о ия 
| | | 
о | | 
=. 8 а Я т а, 
=) = | Е 
а 2А а. | т 
> 
2 а те осе пас по з 2 
Ч 1 | | | | [= 
| | | | | а 
Ф ЕБ С 00А ЕЕ Ф 
Е ч ЕО МЫ = 
Ч і | | | с 
о И 5 Ч о 
5 | | | | 
8 Е Е 3 
= Гори = 
| | 
| | 
= 7 тне ових з = 
2 С Т 2 
= ЕЕЕ = 
|: т и М 9 Е т 
>. = АНТ ЗЕЕ ЧИБЕС 9 >. > 
т @ Д | =... Ы 
РВ < О о = 
е о р | | | о о 
гы == с нефа С т 
| | | 7 = р | | | т а 
| | | 5 5 і 9 | ея 5 
+ + - о о ! | | | е о 
| | | с |: 6 ИК. б Б 
| | | Е Е г а Е = 
| | 
| | | | | 07 [1 ! 0 с 
Ва) аа тан улыг УВЕ ч г Е ) г Е 
| | | | | | | е = р = = 
| | | І | | ] | | і о О 7 с с 
0-1 | | | | ] | | | | 
17—551, р а. Ог 100.9 Еу, 9 сау І 
ИИ |. Сна 
! | | | Г ! І Г і 
| [ | | . 1 . 1 1 | ' | 


Частота 


Рис. 21.14. Соотношение между скоростью передачи данных и частотой смены подканалов 
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Метод быстрого расширения спектра более устойчив к помехам, поскольку узкополосная 
помеха, подавляющая сигнал в определенном подканале, не приводит к потере бита, так 
как его значение передается несколько раз в различных частотных подканалах. В этом 
режиме не проявляется эффект межсимвольной интерференции, потому что ко времени 
прихода задержанного вдоль одного из путей сигнала система успевает перейти на другую 
частоту. Метод медленного расширения спектра таким свойством не обладает, но зато он 
проще в реализации и менее дорог. 


Методы ЕН$$ применяют в беспроводных технологиях ІЕЕЕ 802.11 (\М-Е!) и ВІџеѓооѓћ. 
Отметим, в методах ЕНЗ5 подход к использованию частотного диапазона не такой, как 
в других методах кодирования, — вместо экономного расходования узкой полосы дела- 
ется попытка занять весь доступный диапазон. На первый взгляд это кажется не очень 
эффективным. Однако если учесть, что сигнал отдельного пользователя в течение периода 
времени между сменой частоты использует не весь диапазон, а узкий спектральный под- 
канал, то напрашивается и более эффективное решение по совместному использованию 
доступного диапазона несколькими пользователями. Это решение состоит в том, что частот- 
ные подканалы каждого пользователя изменяются в псевдослучайном порядке, при этом 
в каждый момент времени пользователи передают свои сигналы в различных частотных 
подканалах. Конечно, это можно сделать, только если число пользователей не превышает 
числа частотных подканалов. Таким образом, выполняется мультиплексирование пользо- 
вателей при использовании метода ЕНЗ5. 


Прямое последовательное расширение 
спектра 0$$$ 


В методе прямого последовательного расширения спектра (Рігесё Зеацепсе Ѕргеаа 
Ѕресігит, 0555) частотный диапазон расширяется не за счет постоянных переключений 
с частоты на частоту, как в методе ЕН5$, а за счет того, что каждый бит информации за- 
меняется № битами, поэтому тактовая скорость передачи сигналов увеличивается в М раз. 
Это, в свою очередь, означает, что спектр сигнала также расширяется в М раз. Достаточно 
соответствующим образом выбрать скорость передачи данных и значение №, чтобы спектр 
сигнала заполнил весь диапазон. 


Код, которым заменяется двоичная единица исходной информации, называется расширяю- 
щей последовательностью. Двоичный нуль кодируется инверсным значением расширяющей 
последовательности. Приемники должны знать расширяющую последовательность, которую 
использует передатчик, чтобы понять передаваемую информацию. 


Примером расширяющей последовательности является последовательность Баркера 
(Вагкег), которая состоит из 11 бит: 10110111000. Если передатчик использует эту после- 
довательность, то передача трех битов 110 ведет к отправке следующих битов: 


10110111000 10110111000 01001000111. 


Последовательность Баркера позволяет приемнику быстро синхронизироваться с пере- 
датчиком, то есть надежно выявлять начало последовательности. Приемник определяет 
такое событие, поочередно сравнивая получаемые биты с образцом последовательности. 
Действительно, если сравнить последовательность Баркера с такой же последователь- 
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ностью, но сдвинутой на один бит влево или вправо, то мы получим меньше половины 
совпадений значений битов. Значит, даже при искажении нескольких битов с большой 
долей вероятности приемник правильно определит начало последовательности, а значит, 
сможет правильно интерпретировать получаемую информацию. 


Биты кода расширения (в примере 10110111000) принято называть чипами (сһірѕ, кусоч- 
ки) для того, чтобы их можно было отличать от битов исходных пользовательских данных 
(в примере 110). Скорость передачи чипов в радиосреде, называемая чиповой скоростью, 
выше, чем битовая скорость данных. Чиповая скорость пропорциональна количеству 
битов в расширяющей последовательности — эта пропорция называется коэффициентом 
расширения. Чем больше коэффициент расширения, тем шире спектр результирующего 
сигнала и тем больше степень подавления помех. Обычно коэффициент расширения имеет 
значение от 10 до 100. Как и в случае ЕН$$, для кодирования битов результирующего кода 
может использоваться любой вид модуляции, например ВЕЗК. 


Множественный доступ с кодовым 
разделением СОМА 


В мобильных сетях широко используется техника множественного доступа с кодовым 
разделением (Со4е Ріуіѕіоп Мшарехшя Ассез$, СОМА). В предыдущем разделе, рас- 
сматривая разделение канала в системах МИМО для организации параллельной передачи 
нескольких потоков, мы добавили к ранее изученным способам новый способ — простран- 
ственное мультиплексирование. Расширим этот список методов мультиплексирования еще 
одним — СОМА, в котором информационным потокам выделяются не кванты времени, 
не частотные каналы и не пространственные слоты. В этом методе им назначаются раз- 
личающиеся коды. 


Идея СОМА заключается в том, что каждый узел сети задействует собственное значение рас- 
ширяющей последовательности, выбираемое так, чтобы принимающий узел, который знает 
значение расширяющей последовательности передающего узла, мог выделить данные пере- 
дающего узла из суммарного сигнала, образующегося в результате одновременной передачи 
информации несколькими узлами. 


Каждый узел сети, работающий по методу СОМА, посылает данные в разделяемую среду 
в те моменты времени, когда это ему нужно, то есть синхронизация между узлами отсут- 
ствует. В СОМА каждый бит данных исходного потока, поступающий в разделяемую сре- 
ду, заменяется на приписанную данному узлу расширяющуюся последовательность. Коды 
расширения не являются произвольными битовыми последовательностями — они должны 
обладать особым свойством ортогональности, под которым в данном случае понимается 
возможность выделения кода отдельного узла из общего сигнала. Для построения кодов 
расширения привлекаются математические методы. Полученный в результате замены код 
изменяется с более высокой чиповой скоростью, чем исходная последовательность. 


Поясним идею СОМА на примере. Пусть в сети работает четыре узла: А, В, Си р. Каждый 
узел использует следующие значения расширяющей последовательности: 
4:01010101 
В:10100101 
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С:10011001 
р:11111111 


Предположим также, что при передаче единиц и нулей расширяющей последовательности 
(то есть уже преобразованного исходного кода) используются сигналы, которые являются 
аддитивными и инверсными. Инверсность означает, что двоичная единица кодируется, на- 
пример, синусоидой с амплитудой +А, а двоичный нуль — синусоидой с амплитудой -А. 
Из условия аддитивности следует, что если фазы этих амплитуд совпадут, то при одно- 
временной передаче единицы и нуля мы получим нулевой уровень сигнала. Для упроще- 
ния записи расширяющей последовательности обозначим синусоиду с положительной 
амплитудой значением +1, а синусоиду с отрицательной амплитудой — значением -—1. Для 
простоты допустим также, что все узлы сети СОМА синхронизированы. 


Таким образом, при передаче единицы исходного кода 4 узла передают в среду такие по- 
следовательности: 

А: —1 +1 -1+1-1 +1 -1 +1 

В: +1 -1+1-1-1+1-1+1 

С: +1 -1-1 +1 +1 -1 -1 +1 

Ра Т1 
При передаче нуля исходного кода сигналы расширяющей последовательности инверти- 
руются. 


Пусть теперь каждый из четырех узлов независимо от других передает в сеть один бит 
исходной информации: узел А — 1, узел В -› 0, узел С - 0, узел О -+ 1. В среде 5 сети на- 
блюдается такая последовательность сигналов: 


4А:-1+1-1+1-1+1-1 +1 
В:-1+1-1+1+1-1+1 1 
Оа ре р а Б 
р: +1 +1 +1 +1 +1 +1 +1 +1 


В соответствии со свойством аддитивности получаем: 
5: —2, +4, 0, +2, 0, +2, +2, 0 


Если, например, некоторый узел Е хочет принимать информацию от узла А, то он должен 
использовать свой демодулятор СОМА, задав ему в качестве параметра значение расши- 
ряющей последовательности узла А. Демодулятор СОМА последовательно складывает 
все четыре суммарных сигнала 5;, принятые в течение каждого такта работы. При этом 
сигнал 5; принятый в такте, на котором код расширения станции А равен +1, учитыва- 
ется в сумме со своим знаком, а сигнал, принятый в такте, на котором код расширения 
станции А равен –1, добавляется в сумму с противоположным знаком. Другими словами, 
демодулятор выполняет операцию скалярного умножения вектора принятых сигналов на 
вектор значения расширяющей последовательности нужной станции: 


$хА-= (-2, +4, 0, +2, 0, +2, +2, 0) х (1+1 -1+1-1+1-1 +1) = 8. 


Чтобы узнать, какой бит послала станция А, нормализуем результат, то есть разделим его 
на количество разрядов в расширяющей последовательности: 8/8 = 1. 
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Если бы станция хотела принимать информацию от станции В, то ей нужно было бы при 
демодуляции использовать код расширения станции В (+1 —1 +1 -1-1+1-1+10): 


5хВ= (2,14, 0.42.02, +2 0 х СЕТЕ ЕЕ = 5. 


После нормализации получаем сигнал –1, который соответствует двоичному нулю ис- 
ходной информации станции В. 


Мы объяснили только основную идею СОМА, предельно упростив ситуацию. На практике 
СОМА — весьма сложная технология, оперирующая не условными значениями +1 и -1, 
а модулированными сигналами, например сигналами ВРК. Проблема синхронизации 
приемника и передатчика решается за счет передачи длинной последовательности опре- 
деленного кода — пилотного сигнала. 


Ортогональное частотное мультиплексирование 


Еще одним способом расширения спектра сигнала является ортогональное частотное муль- 
типлексирование (Огіоропа! Егедиепсу Ріуіѕіоп МшірІехіпе, ОЕОМ). Этот метод похож на 
обычное частотное мультиплексирование ЕРМ (см. главу 7), поскольку и здесь применяется 
мультиплексирование сигналов в различных частотных полосах, называемых каналами. 


Однако вместо того чтобы передавать данные отдельной станции в одном частотном канале 
с максимально возможной скоростью, в ОРОМ эти данные передаются небольшими частями па- 
раллельно и независимо по нескольким частотным полосам, называемых подканалами, с более 
низкой скоростью. В отличие от РОМ, в котором канал разделяется между несколькими пользо- 
вателями, все подканалы одного канала ОРОМ передают данные одного потока. 


И хотя скорость передачи в отдельных подканалах может быть невысокой, за счет одновре- 
менной передачи данных по всем подканалам достигается высокая результирующая общая 
скорость. Идея распараллеливания скоростного потока на несколько низкоскоростных 
дополняется в технологии ОЕРЮМ более плотным, чем в технологии ЕОМ, размещением 
подканалов в диапазоне частот (рис. 21.15). 


На рисунке показано взаимное расположение каналов технологии ЕШОМ (а) и подканалов 
технологии ОЕРМ (6). Каждому каналу технологии ЕОМ отводится полоса частот опре- 


Амплитуда (В) Амплитуда (В) 
Полоса 
защиты Полоса 
Полоса ) подканала 


канала | 


Подканал 1 | Подканал 2 Подканал 6 


Канал 2 Канал 3 


Частота (Гц) Частота (Гц) 


а 6 


Рис. 21.15. Взаимное расположение каналов ЕОМ (а) и подканалов ОҒОМ (6) 
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деленной ширины, позволяющая передавать модулированные сигналы определенного 
спектра, умещающегося в эту полосу. Чтобы сигналы соседних каналов не искажали друг 
друга за счет взаимодействия боковых гармоник, каналы разделены полосой защиты. Как 
видно из рисунка, в технологии ОЕОМ подканалы не только не разделены полосой защи- 
ты, а, напротив, сдвинуты навстречу друг другу на половину полосы подканала, и в одном 
и том же диапазоне частот помещается более, чем в 2 раза больше подканалов ОЕОМ, чем 
каналов ЕОМ. 


Возможность качественной передачи данных при таком плотном расположении частотных кана- 
лов обеспечивается тем, что разбиение канала передачи на подканалы и обработка передавае- 
мых в пределах этих подканалов сигналов выполняется специальным образом, обеспечивающим 
их ортогональность. 


В ОЕРМ взаимно ортогональными должны быть функции, описывающие сигналы каждого 
из подканалов в частотной области. Сильно упрощая, можно сказать, что если функции не- 
которого вида являются ортогональными, то их произведение равно нулю. Применительно 
к методу мультиплексирования ОЕМО ортогональность означает, что перекрывающиеся 
сигналы подканалов взаимно аннулируются, поэтому полоса защиты не нужна. Ортого- 
нальность подканалов является необходимым условием того, чтобы из общего сигнала 
всегда было возможно выделить сигналы каждого подканала, и в отношении подканалов 
ОЕОМ достигается за счет применения двух приемов: 


Ч Несущие частоты подканалов должны быть смещены друг относительно друга в точ- 
ности на величину частоты модуляции сигнала Ёт в каждом из подканалов. 

Ц Кмодулированному сигналу каждого подканала перед передачей применяется фильтр 
импульсной формы (ри|5е зВаршя сег), за счет чего спектр сигнала приобретает 


специальную форму, обеспечивающую взаимное аннулирование сигналов соседних 
подканалов. 


Амплитуда (В) Амплитуда (В) їс + 2#т 
А 
іс іт, к + 


т 


21т Частота (Гц) Частота (Гц) 


— 


а [6] 


Рис. 21.16. Амплитудно-частотная характеристика фильтра импульсной формы (а) и амплитудно- 
частотная характеристика подканалов ОҒОМ (6) 
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На рис. 21.16, а показана амплитудно-частотная характеристика фильтра импульсной фор- 
мы. Эта характеристика описывается формулой вида ѕіп(ло) /ло и получила свое название 
по форме амплитудно-частотной характеристики отдельного прямоугольного импульса. 
Такой фильтр работает на определенной несущей частоте Е и имеет ширину 2#т, где #т — 
частота модуляции сигнала. Такая ширина фильтра достаточна для передачи сигналов со 
скоростью С = 2#т, если один символ имеет два различимых состояния (в соответствии 
с теоремой Найквиста С = 2#т Іор; М). 


При организации подканалов частота несущей каждого подканала отличается от частот 
несущей соседних подканалов на величину частоты модуляции сигнала в подканале }т. 
Как видно из рис. 21.16, максимум амплитудно-частотной характеристики подканала 
совпадает с точками перехода амплитудно-частотных характеристик соседних каналов 
через 0, поэтому сигналы соседних каналов мало влияют на основные гармоники данного 
подканала, то есть подканалы являются ортогональными. Техника модуляции сигнала на 
каждом подканале может быть своя: например, в одном подканале может использоваться 
техника модуляции ОРЅК, а в другом — ОАМ-16. Главное, чтобы частота модуляции у всех 
подканалов была одинаковая и равная сдвигу несущей частоты. 
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Рис. 21.17. Преобразование сигналов в системе передатчик-приемник ОРОМ 


На рис. 21.17 показана схема, иллюстрирующая процесс преобразования кодов и сигналов 
в системе передатчик-приемник технологии ОЕОМ. Несколько пояснений к рисунку. 


1. На вход передатчика поступает последовательность нулей и единиц передаваемого 
кода. Блок 5/Р (Зепа|/Рагае]) преобразует этот последовательный поток в несколько 
параллельных (в нашем примере — потоки а, Б, си 4), выбирая из входного потока 
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по нескольку битов, в зависимости от количества состояний сигнала метода модуля- 
ции, выбранного для канала. На рис. 21.17 блок $/Р выбирает из входного потока по 
2 бита, то есть выбран метод модуляции с четырьмя состояниями сигнала, например 
ОРЅК, а за один такт модуляции передается два бита исходного кода. Такт определяет 
частоту модуляции #„. Блок $/Р производит четыре параллельных потока данных, 


то есть передача исходной информации будет осуществляться по четырем подканалам 
системы ОЕОМ. 


2. Каждый из четырех потоков поступает на блок модуляции Моа, где модулируется 
в соответствии с выбранный техникой, например, квадратурной фазово-частотной 
модуляции ОРЅК на несущей частоте ї, конкретного подканала. Результат модуля- 
ции представлен на выходе модулятора не в виде функции времени, как это обычно 
происходит при модуляции параметров несущей частоты, а в виде набора гармоник 
модулированного и отфильтрованного сигнала. Например, если в некотором такте по 
подканалу а поступает код 10, то результатом работы модулятора будет несколько дис- 
кретных частот, например, три числа, если после фильтрации спектр сигнала состоит 
из трех основных гармоник. Модуляция и фильтрация выполняются в дискретной 
форме, то есть блок модуляции синтезирует сигнал в частотной области. Модулятор 
может иметь библиотеку спектров модулированных и отфильтрованных сигналов для 
различных значений входных дискретных данных, например, для кода 00 имеется один 
набор значений гармоник сигнала, соответствующего этому коду, для кода 01 — другой 
набор и т. д. Результаты преобразований условно показаны на рис. 21.17 в виде четырех 
значений амплитуды основной гармоники спектра каждого подканала на выходе блока 
Моа (спектр каждого подканала упрощен до основной гармоники, хотя в реальности 
он состоит из нескольких гармоник). 


3. Значения дискретного спектра каждого сигнала поступают на блок ТЕЕТ (Іпуегѕе Еаѕі 
Еоогіе Тгапзюгта оп), выполняющий обратное преобразование Фурье. Известно, что 
для любой периодической функции времени существует преобразование Фурье, пред- 
ставляющее ее в виде суммы гармоник различной частоты, амплитуды и фазы, другими 
словами, спектральное разложение данной функции времени. Обратное преобразование 
Фурье позволяет восстановить функцию времени по параметрам ее спектрального раз- 
ложения. Выходными сигналами блока ІЕЕТ являются функции времени, соответству- 
ющие модулированному сигналу каждого подканала. Эти функции дискретизированы 
во времени, то есть блок ІЕЕТ вырабатывает последовательность амплитуд сигнала 
подканала в дискретные моменты времени (на рисунке показана функция одного под- 
канала). Отметим, все преобразования этапов 1-3 выполняются в дискретной форме. 
Сегодня существуют недорогие цифровые процессоры, которые быстро и эффективно 
выполняют все описанные операции, включая и обратное преобразования Фурье. 


4. Последним блоком передатчика является блок цифро-аналогового преобразования 
ЦАП. Этот блок преобразует дискретные данные, представляющие сигналы подкана- 
лов, в аналоговый сигнал, необходимый для передачи по радиоэфиру. 


5. Приемник выполняет обратные преобразования сигнала, включая их преобразова- 
ние из аналоговой в цифровую форму (блок АЦП), прямое преобразование Фурье 
(блок ЕЕТ) и их демодуляцию (блок Оетод). 


Все описанные выше манипуляции с сигналами были направлены на устранение взаимного 
влияния (интерференции) подканалов (рис. 21.18). Именно эти помехи представляют 
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Рис. 21.18. Интерференция подканалов и межсимвольная интерференция 


наибольшую проблему при передаче данных методом ОЕРМ, поскольку другой источник 
помех — межсимвольная интерференция, происходящая из-за многолучевого распростра- 
нения сигнала, — в данном случае проявляется слабее. Действительно, более низкая ско- 
рость передачи по подканалу означает большую длительность сигнала отдельного символа 
кода, а это, в свою очередь, уменьшает межсимвольную интерференцию. Когда приемник 
получает несколько копий одного и того же символа со сдвигом во времени (в этом и со- 
стоит эффект межсимвольной интерференции), вероятность того, что какая-нибудь копия 
сигнала попадет в интервал, принадлежащий соседнему символу, снижается с увеличением 
длительности этого интервала. 


Для дальнейшего уменьшения межсимвольной интерференции может быть применен 
метод адаптивного сглаживания, но разработчики технологии ОЕРЮМ выбрали другой, 
более простой метод, основанный на удлинении длительности передачи символа кода 
за счет добавления к нему циклического префикса (Сусііс Ргейх, СР). Добавление 
циклического префикса — это, по сути, вставка охранного интервала между символами, 
отделяющего период передачи одного символа от периода передачи другого символа и тем 
самым уменьшающего вероятность того, что периоды передачи соседних символов пере- 
кроются. Особенностью данного метода является то, что во время охранного интервала, 
предваряющего передачу сигнала некоторого символа, передается сигнал, копирующий 
«хвост» этого сигнала. 


На рис. 21.19 изображены два периода передачи сигналов символов данных: на первом 
периоде передается сигнал символа 1, а на втором — сигнал символа 2. Примененный метод 
модуляции не имеет значения, главное, что мы знаем форму сигнала, соответствующего 
каждому символу. Как видно из рисунка, полный период передачи символа состоит из 
начального периода передачи циклического префикса и периода передачи сигнала сим- 
вола, названного полезным периодом. В течение времени, отведенного для циклического 
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префикса, форма у сигнала точно такая же, как и на периоде окончания сигнала символа, 
который имеет ту же длительность, что и период циклического префикса. 
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Рис. 21.19. Добавление циклического префикса к сигналу символа 


Приемник сравнивает сигнал, полученный за период циклического префикса, с сигналом, полу- 
чаемым во время полезного периода, постоянно сдвигая окно сравнения во времени. Как только 
такое совпадение происходит, приемник фиксирует окончание передачи символа и начинает 
считать, что начинается прием сигнала следующего символа. 


В том случае, когда техника ОЕОМ использует вставку циклического префикса, она на- 
зывается техникой СР-ОЕРМ. Как ОЕРМ, так и СР-ОЕРМ очень широко применяются 
в беспроводных коммуникациях — в сетях Мі-Еі, в мобильных телекоммуникационных 
сетях четвертого поколения. Считается, что СР-ОЕРМ станет одной из наиболее по- 
пулярных техник разделения радиосреды в мобильных сетях пятого поколения (5С), 
наряду с другими модификациями ОЕРМ. 


ГЛАВА 22 Беспроводные локальные 
и персональные сети 


Особенности среды беспроводных 
локальных сетей 


Беспроводные локальные сети (\УЛгеез$ оса] Агеа Меіуогк, \УТАМ) в некоторых случа- 
ях являются предпочтительным по сравнению с проводными сетями решением, а иногда 
и единственно возможным. В \/ГАМ сигнал распространяется с помощью электромаг- 
нитных волн высокой частоты. Современные беспроводные локальные сети позволяют 
передавать данные на скоростях до нескольких гигабит в секунду. 


Преимущество беспроводных локальных сетей очевидно — их проще и дешевле развора- 
чивать и модифицировать, так как вся громоздкая кабельная инфраструктура оказывается 
излишней. Еще одно преимущество — обеспечение мобильности пользователей. Сегодня 
беспроводные локальные технологии успешно применяются во многих типах сетей: домаш- 
них сетях, сетях аэропортов, вокзалов, кафе и других публичных мест, временных сетях, 
организуемых на различных конференциях, совещаниях и подобных им мероприятиях, 
в сетях исторических зданий с уникальной архитектурой, исключающей возможность про- 
кладки кабелей, а также в формате городских сетей всеобщего доступа, предоставляющих 
доступ в Интернет на всей территории города (например, в общественном транспорте). 


Однако за эти преимущества беспроводные сети расплачиваются длинным перечнем про- 
блем, которые несет с собой неустойчивая и непредсказуемая беспроводная среда и, в част- 
ности, особенности распространения сигналов в такой среде (см. главу 21). Помехи от 
разнообразных бытовых приборов и других телекоммуникационных систем, атмосферные 
помехи и отражения сигнала создают серьезные трудности для надежного приема инфор- 
мации. Локальные сети — это прежде всего сети зданий, а распространение радиосигнала 
внутри здания еще сложнее, чем вне его. В стандарте ІЕЕЕ 802.11 приводится изображение 
распределения интенсивности сигнала (рис. 22.1) и подчеркивается, что это статическое 
изображение, а в действительности картина является динамической, и при перемещении 
объектов в комнате распределение сигнала может существенно измениться. По этой причи- 
не даже технологии, рассчитанные на фиксированные (не мобильные) узлы сети, должны 
учитывать то, что беспроводная локальная сеть является неполносвязной. 


Методы расширения спектра помогают снизить влияние помех на полезный сигнал. Кроме 
того, в беспроводных сетях широко используются прямая коррекция ошибок (ЕЕС) и про- 
токолы с повторной передачей потерянных кадров. 


Неравномерное распределение интенсивности сигнала приводит не только к битовым 
ошибкам передаваемой информации, но и к неопределенности зоны покрытия беспро- 
водной локальной сети. В проводных локальных сетях такой проблемы нет — те и только 
те устройства, которые подключены к кабельной системе здания или кампуса, получают 


Глава 22. Беспроводные локальные и персональные сети 701 


Рис. 22.1. Распределение интенсивности радиосигнала 


сигналы и участвуют в работе Г.АМ. Беспроводная локальная сеть не имеет точной области 
покрытия. Часто используемое изображение такой области в форме шестиугольника или 
круга является не чем иным, как абстракцией. В действительности сигнал может быть 
настолько ослаблен, что устройства, находящиеся в предполагаемых пределах зоны по- 
крытия, вообще не могут принимать и передавать информацию. 


а) узел А передает данные 
узлу В 


Зона Зона Зона 
излучения излучения излучения 
узла А узла В узла С 


6) узел В передает данные 
узлу А 


Рис. 22.2. Проблема «скрытой» станции и «засвеченного» терминала 


В примере на рис. 22.2, а показана такая фрагментированная локальная сеть. Неполносвяз- 
ность беспроводной сети порождает проблемы доступа к разделяемой среде, известные как 
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проблемы скрытой станции и засвеченного терминала. Проблема скрытой станции воз- 
никает, если два узла находятся в зоне досягаемости друг друга (узлы А и С на рис. 22.2, а), 
но существует третий узел — В, который принимает сигналы как от А, так и от С. Пред- 
положим, что в радиосети используется традиционный метод доступа, основанный на 
прослушивании несущей, например СЅЎМА/СР. В данном случае коллизии будут возникать 
значительно чаще, чем в проводных сетях. Пусть, например, узел А передает информацию 
узлу В. Узел С «видит», что среда свободна, и начинает передавать свой кадр узлу В. В ре- 
зультате сигналы в районе узла В исказятся, то есть произойдет коллизия, вероятность 
возникновения которой в проводной сети была бы неизмеримо ниже. Другая ситуация 
показана на рис. 22.2, 6. Узел В передает данные узлу А, в это время узел С решает связаться 
с узлом О, но, проверив среду, решает, что она занята, хотя на самом деле узел р доступен. 
Эта ситуация называется проблемой засвеченного терминала. 


Причиной того, что алгоритм доступа к проводной среде не работает в случае среды беспровод- 
ной, заключается в следующем. И втом и в другом случае узел-отправитель проверяет состояние 
среды на своем интерфейсе. Но если для проводной линии связи занятость на выходном интер- 
фейсе передающего узла действительно означает занятость узла-получателя, то для беспровод- 
ной сети возможны разные комбинации состояний среды на выходном интерфейсе и интерфейсе 
узла-получателя: свободен —занят, занят свободен, свободен— свободен и занят— занят. 


Поэтому в сетях М№1-Е1 применяется другой алгоритм доступа, основанный на методе про- 
стоя источника (см. главу 15): узел, передавший кадр, должен дождаться подтверждения 
о его получении от узла получателя и только после этого посылать следующий кадр. Если 
подтверждение не приходит в течение заданного интервала времени, то считается, что кадр 
был потерян в результате коллизии, и узел передает копию этого кадра. 


Беспроводные локальные сети ІЕЕЕ 802.11 


Сети и оборудование стандарта ІЕЕЕ 802.11, также известные под названием М№і-Еі — по 
имени консорциума \1-Ей АШапсе, который занимается вопросам совместимости и серти- 
фикации оборудования стандартов ІЕЕЕ 802.11, — занимают лидирующие позиции в мире 
беспроводных локальных сетей. 


Топологии локальных сетей стандарта ІЕЕЕ 802.11 


Стандарт 802.11 определяет в качестве основного структурного элемента У\/Г.АМ сеть 
с базовым набором услуг (Ваѕіс Ѕегуісе 5е, В$$). В55 представляет собой набор бес- 
проводных сетевых устройств, разделяющих среду передачи и работающих с одинако- 
выми характеристиками доступа к среде: частота и схема модуляции сигналов. Сети В55 
не являются традиционными сотами (как в мобильных сетях), их зоны покрытия могут 
находиться друг от друга на значительном расстоянии, а могут частично или полностью 
перекрываться — стандарт 802.11 оставляет здесь свободу для проектировщика сети. Сети 


1 МЛ-Е! является сокращением от УМге[ез$ Е1!4еШу — «беспроводная точность»; термин был введен по 
аналогии с популярным термином Н!-Е1, обозначающим высокую точность воспроизведения звука 
аппаратурой. 
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В$$ могут быть объединены в группы, называемые сетями с расширенным набором услуг 
(Ехѓепаеа Ѕегуісе Зе, Е$$). Е55 образуется путем соединения между собой нескольких 
сетей В55, расположенных в одном и том же сегменте логической сети (например, [Р- 
подсеть, УГАМ ит. д.). 


Стандарт 802.11 различает два типа топологий сетей В55 (рис. 22.3): 


О Топология на основе связей «точка-точка» (узлы взаимодействуют друг с другом не- 
посредственно), сеть с такой топологией в стандарте 802.11 называют независимой 
(Іпаерепаепї В$$, [В55$) или сетью «по случаю» (А4-Нос В55). Так как устоявшегося 
названия для такого типа сети в русскоязычной технической литературе нет, будем 
называть ее сетью Ай-Нос. 


О Централизованная топология с использованием одного центрального узла. Централь- 
ный элемент называют базовой станцией, а соответствующие сети — инфраструктур- 
ными сетями (шёгазгисвиге В$$, или просто В$$). 


ш | 
8 2 жў 


Аа-Нос В55 


х Базовая станция 
{ (точка доступа АР) 


Инфраструктурная В$$ 


Рис. 22.3. Сети с базовым набором услуг: Аа-Нос В$$ и инфраструктурная В$$ 


Сеть Аа-Нос В$$ представляет собой набор узлов, взаимодействующих через общую 
электромагнитную среду на основе децентрализованного алгоритма доступа. Сеть Ад- 
Нос создается самопроизвольным способом на некоторый (обычно небольшой) период 
времени. Хотя базовая станция в сети Ад-Нос отсутствует, в каждый момент времени 
в сети имеется один или несколько узлов, которые берут на себя ведущую роль. Отметим, 
сети Аа-Нос функционируют автономно, в них нет никаких средств для связи с другими 
сетями. 


ПРИМЕЧАНИЕ 


В последнее время необычайно вырос интерес к децентрализованным схемам беспроводного доступа, 
в которых портативные устройства связываются друг с другом без каких-либо подготовительных 
процедур, обнаружив друг друга в непосредственной близости. В некоторых ситуациях, когда обыч- 
ная связь с центральной точкой доступа оказывается нерабочей (например, в результате стихийного 
бедствия, технического отказа сети провайдера или же ее отключения по политической причине), 
такие схемы оказываются особенно востребованными и эффективными. Яркий пример — исполь- 
зование участниками протестов в Гонконге осенью 2014 года приложения для смартфонов ЕігеСћаї, 
обеспечивающего децентрализованную маршрутизацию сообщений между телефонами, находящи- 
мися в пределах прямой доступности по протоколу ВІџеТоо‹ћ. Однако для телефонного трафика 
неопределенность в доле пропускной способности, получаемой при разделении среды, может резко 
ухудшить качество передачи голоса. Поэтому «штатные» системы такого назначения строятся по 
схеме с одним источником (базовой станцией), служащим для распределения полосы пропускания, 
и несколькими приемниками. 
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Пользователи инфраструктурной В55 могут обмениваться информацией только с базовой 
станцией, а она транзитом обеспечивает взаимодействие между отдельными пользовате- 
лями, то есть весь трафик в В$5 проходит через базовую станцию. Инфраструктурная В55 
образует широковещательный домен. 


Базовая станция обычно соединяется проводным сегментом Ефегпе с проводной частью 
сети, обеспечивая доступ «своим» узлам к узлам других базовых станций или узлами дру- 
гих сетей, обычно к Интернету. Поэтому базовая станция также называется точкой доступа 
(Ассезз Роше, АР). Таким образом, точка доступа имеет два интерфейса — беспроводной 
и проводной сети. Точка доступа включает не только оборудование ОСЕ, необходимое для 
образования линии связи, но и чаще всего является коммутатором сети, доступ к кото- 
рой она обеспечивает, — телефонным коммутатором или коммутатором пакетов. Именно 
наличие дополнительного оборудования (инфраструктуры) — точки доступа, связанной 
проводной линией с маршрутизатором, — объясняет название «инфраструктурные сети», 
в отличие от сетей Ад-Нос, не обладающих никакой инфраструктурой. В сетях Е$ $ точки 
доступа нескольких В$5 связаны между собой с помощью распределительной системы, на- 
зываемой в стандарте О15%Бийоп Зузет (05), в качестве которой может использоваться 
та же среда (то есть радио- или инфракрасные волны), что и среда взаимодействия между 
узлами, или же отличная от нее, например проводная. На рис. 22.4 распределительная си- 
стема 0$ образована двумя точками доступа АР1 и АР2, связанными сегментом Ефегпей 
с маршрутизатором. Точки доступа могут быть связаны друг с другом непосредственно, 
без маршрутизатора. 


~ --- 
- 
-= 


Проводной сегмент `` К провайдеру 
Еіћегпеї ` Интернета 


т Сеть с расширенным сег 
Д набором функций реза" 


Рис. 22.4. Инфраструктура беспроводной сети М/-Еі 


Задачей 05 является передача пакетов между узлами, принадлежащими разным сетям 
В$5. В этом случае они передают кадр своей точке доступа, которая через 05 передает его 
точке доступа, обслуживающей сеть В$5 со станцией назначения. Сеть Е$$ обеспечивает 
узлам мобильность — они могут переходить из одной сети В55 в другую. Эти перемеще- 
ния обеспечиваются функциями уровня МАС рабочих и базовых станций, поэтому они 
совершенно прозрачны для уровня ЦС. 


Сеть Вѕ51 представляет собой типичную домашнюю сеть №і-Еї, узлами которой служат 
мобильный телефон, ноутбук, десктоп, принтер и телевизор. Для доступа к Интернету 
провайдер обычно предоставляет пользователю домашней сети устройство доступа, объ- 
единяющее функции беспроводной точки доступа АР и ІР-маршрутизатора и обычно 
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называемое хабом \\1-Е1. Каждый узел сети В$5$ (в том числе беспроводной интерфейс 
точки доступа) имеет уникальный МАС-адрес, встроенный при изготовлении в сетевой 
адаптер. Он имеет такой же формат, как и МАС-адрес Е(ћегпеѓ. Узлы Ад-Нос В$$ также 
имеют МАС-адреса, но они не обязательно являются уникальными. 


Сеть Мі-Еі (любого типа — В$$, Е$ $ или Аа-Нос) должна иметь уникальный идентифи- 
катор $810 (Ѕегуісе Ѕег Чепийег). Это символьный идентификатор, его длина ограничена 
32 символами. Часто этот идентификатор имеет смысловое назначение, позволяющее 
пользователю понимать, в область покрытия какой сети попал его компьютер или телефон. 
Например, идентификатор Ѕтігпоу-ѓатіу может дать понять, что вы поймали сигналы 
точки доступа домашней сети семьи Смирновых. 


Стек протоколов ІЕЕЕ 802.11 


Как можно было ожидать, стек протоколов стандарта ІЕЕЕ 802.11 (рис. 22.5) соответствует 
общей структуре стандартов комитета 802, то есть состоит из физического уровня и уров- 
ня МАС, поверх которых работает уровень ІС. Как и у всех технологий семейства 802, 
технология 802.11 определяется нижними двумя уровнями, то есть физическим уровнем 
и уровнем МАС, а уровень 1С выполняет свои стандартные функции, общие для всех 
технологий ГАМ. 


ис 


МАС 
(СЅМА/СА) 


Рһу 802 11 802 11а 802.116 802 119 802.11п 


Рис. 22.5. Стек протоколов ІЕЕЕ 802.11 


Уровень МАС выполняет в беспроводных сетях больше функций, чем в проводных. Функ- 
ции уровня МАС в стандарте 802.11 включают: 


О доступ к разделяемой среде; 
Ц обеспечение мобильности станций при наличии нескольких базовых станций; 


О обеспечение безопасности, эквивалентной безопасности проводных локальных сетей. 


Стандарты физического уровня 


На физическом уровне существует несколько вариантов спецификаций, отличающихся 
используемым частотным диапазоном, методом кодирования и, как следствие, скоростью 
передачи данных. Все варианты физического уровня работают с одним и тем же алгорит- 
мом уровня МАС, но некоторые временные параметры уровня МАС зависят от используе- 
мого физического уровня. 


По табл. 22.1, где представлены наиболее популярные варианты физического уровня 
стандартов семейства [ЕЕЕ 802.11, можно проследить впечатляющий прогресс технологий 
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беспроводных локальных сетей в течение последних двух десятилетий. К примеру, скорость 
передачи данных, поддерживаемая стандартом ІЕЕЕ 802.11ах, выход которого ожидается 
в конце 2019 года, превысит скорость стандарта 802.11 1997 года в 10 тысяч раз! 


Таблица 22.1. Стандарты семейства ІЕЕЕ 802.11 


Формальное Рабочий Максимальная скорость (без Способ Год 
и неформальное | диапазон помех, на расстоянии {1 м между | модуляции принятия 
название частот передатчиком и приемником) 


ТЕЕЕ 802.11 24 ГГц До 1,2 Мбит/с р55$/ЕН$8 1997 
ТЕЕЕ 802.1Ь 24 ГГц До 11 Мбит/с 2555 1999 
ТЕЕЕ 802.112 54 Мбит/с ОЕБМ 1999 


ЕЕЕ 802.118 2,4 ГГц, 54 Мбит/с ОЕОМ, 
совместим 
с 802.116 08555 


ТЕЕЕ 802.11п 2,4/5 ГГц 288.8 / 600 Мбит/с ОЕРМ, 2009 
(\М-Е!-4) 4 ММО потока 


ІЕЕЕ 802.11ас Полоса 20 МГц до 347 Мбит/с ОЕРОМ 

(Мі-Еі- 5) Полоса 40 МГц до 800 Мбит/с 8 МІМО потоков 
Полоса 80 МГц до 1733 Мбит/с 
Полоса 160 МГц до 3467 Мбит/с 


ІЕЕЕ 802.11ах До 10530 Мбит/с (10.53 Гбит/с) ОЕОМ МІМО Ожидается 
(МЛ-Е! -6) ыы 


Начиная с 1999 года метод мультиплексирования ОЕОМ пришел на смену методам 0555 
и ЕН$$ первых версий. Спустя еще 10 лет стандарт был дополнен поддержкой метода 
МІМО. Выделим общие свойства стандартов семейства ІЕЕЕ 802.11: 


О Одна и та же топология. 


О Все стандарты поддерживают в качестве рабочего диапазона частот либо 2,4 ГГц, либо 
5 ГГц, либо оба эти диапазона. 


О Один и тот же способ доступа к разделяемой среде СЗМА/СА — метод прослушивания 
несущей частоты с множественным доступом и предотвращением коллизий. 


О Одинаковая структура кадра канального уровня. 


О Все стандарты имеют адаптивный механизм изменения скорости передачи в зависи- 
мости от расстояния до приемника. Адаптация может происходить за счет изменения 
метода кодирования сигнала — например, для увеличения скорости передачи данных 
точка доступа может перейти от кодирования 16-ОАМ к кодированию 64-ОАМ. 
При использовании техники ОЕОМ точка доступа может, наряду с изменением 
метода кодирования, увеличить количество частотных подканалов, выделяемых 
пользователю. 


Узлы сети \Л-[1, как и узлы локальной проводной сети, оснащены сетевым адаптером. Он 
выполняет функции физического и канального уровней, отличаясь от сетевого адаптера 
проводной сети наличием антенны. 


Глава 22. Беспроводные локальные и персональные сети 707 


Формат кадра 


В отличие от Ефегпе, имеющего кадр только одного типа — кадр данных, в технологии 
\\1-Е! поддерживаются кадры нескольких типов, причем их структура гораздо сложнее. 
На рис. 22.6 показаны поля кадра \Мі-Еі, а также назначение подполей 2-байтового поля 
управления кадром. 


Размер 


полей в байтах: 0-2312 


2 2 6 6 6 2 6 4 
Ргате Оигаіїоп | Адагеѕѕ 1 | Аддгеѕѕ 2 | Аддгез$$ 3 504. АдЯгеѕѕ 4 СКС 
сопіто! Сопігоі 

2 2 4 1 1 1 1 1 1 1 1 
Рго\осо! Зи | То | Ёгот 


Размер 
полей 
в битах: 


Ргате сопіго! — Управление кадром То АР — К точке доступа 
Оигаіоп — Длительность Ргот АР — От точки доступа 
Ѕед. Согиго! (Зедиепсе сог\го!) — МЕ (Моге Егадтепіѕ) — Фрагмент 


Управление последовательностью Вену — Повтор 


а РМ (Ромег Мападетегќ) — 

СКС (Сусс гЕдупдапсу Сһөск) — Управление питанием 
Контрольная сумма 

МО (Моге даа) — Еще данные 
Епсг. (Епсгур#оп) — Шифрование 
Туре — Тип Огаег — Порядок 

Ѕибќуре — Подтип 


Рго{осо!| уегѕіоп — Версия протокола 


Рис. 22.6. Формат кадра \М-Е! 


Имеется три типа кадров №М-Еі: 
ОЈ кадры данных; 

О кадры слоя управления; 

О кадры слоя менеджмента. 


Тип кадра, а также его подтип определяются значением соответствующих полей двух- 
байтного поля «Управление кадром». Мы рассмотрим специальные типы кадров по мере 
необходимости, а пока сосредоточимся на кадрах данных. 


Одной из особенностей кадра \М-ЁЕ! является наличие в нем четырех полей МАС-адресов. 
Их назначение зависит от конфигурации сети. В том случае, когда две точки доступа не- 
посредственно взаимодействуют друг с другом, используются все четыре МАС-адреса: 
станции-источника, двух точек доступа и станции назначения. Когда станция обменивается 
данными с узлом Интернета, то используется только три адреса — станции пользователя, 
точки доступа и маршрутизатора распределительной системы. 


Кадр №і-Еі имеет ряд полей, помогающих узлам, обменивающимся данными, обнаружи- 
вать и восстанавливать искаженные и потерянные кадры. Искажение данных выявляется 
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по значению поля контрольной суммы, а потерянные кадры — по значению поля «Управ- 
ление последовательностью», содержащем порядковые номера кадров. 


Поле данных позволяет переносить до 2312 байт пользовательских данных. Кадры М№\і- 
Е! могут фрагментироваться, при этом назначение фрагментирования здесь отличается 
от назначения аналогичной операции в протоколе ІР. Там пакет фрагментируется в том 
случае, когда его размер превосходит величину МТО в промежуточном маршрутизаторе. 
Здесь же фрагментация применяется для ускорения передачи данных в условиях высокого 
уровня помех в радиосети, так как чем меньше размер кадра, тем выше вероятность, что 
он будет получен неискаженным. Станция назначения подтверждает квитанцией каждый 
фрагмент кадра, а станция-отправитель не передает следующий фрагмент, пока не полу- 
чит квитанции. Таким образом, при искажении битов в радиосреде станция-отправитель 
передает повторно не весь кадр, а только его фрагмент. Для поддержки фрагментирования 
в поле «Управление последовательностью» указываются не только номер кадра, но и номер 
фрагмента. Однобитовый признак «Фрагмент» всех фрагментов, кроме последнего, равен 1 
(значение 0 говорит о том, что это последний фрагмент). 


Поле «Длительность» определяет время занятости среды, которое станция дополнительно 
резервирует за собой после передачи данного кадра. Это время определяется режимом 
доступа к среде и типом кадра, передаваемого станцией. При распределенном режиме до- 
ступа, когда станции соревнуются за доступ к среде (режимы доступа рассматриваются 
ниже), станция, получившая доступ и передающая кадр данных, устанавливает в поле 
«длительность» значение, равное времени ожидания квитанции о его приеме. Таким 
образом, операция передачи кадра и получения подтверждения становится неделимой 
транзакцией — никакая другая станция не может вклиниться в эту операцию, пока она не 
завершится либо получением подтверждения, либо истечением тайм-аута ожидания под- 
тверждения. При передаче фрагментов кадра значение длительности владения складыва- 
ется из времени ожидания квитанции на данный фрагмент, времени передачи следующего 
фрагмента и времени ожидания квитанции на следующий фрагмент. При передаче кадра 
данных с широковещательным адресом время длительности владения средой устанавли- 
вается в 0, так как такой кадр не требует подтверждения. При централизованном режиме 
доступа, контролируемом точкой доступа, в сети нет соревновательности между станциями 
по доступу к среде, и это время соответствует максимальному значению 32768. 


Единица в поле «Шифрация» означает, что пользовательские данные зашифрованы. Еди- 
ница в поле «Еще данные» означает, что у станции имеются данные, которые она хочет 
передать в следующих кадрах. Единица в поле «Порядок» уведомляет принимающую стан- 
цию, что порядок кадров имеет значение. Поля «К точке доступа» и «От точки доступа» 
показывают направление передачи кадра. 


Процедура присоединения к сети 


Для того чтобы работать с точкой доступа, станция пользователя должна выполнить про- 
цедуру присоединения к сети. В процессе этой процедуры точка доступа может попросить 
станцию пройти аутентификацию, чтобы исключить посторонних пользователей от ис- 
пользования данной сети. 


Существуют два режима присоединения — пассивный и активный. В первом режиме стан- 
ция пассивно прослушивает радиоэфир и пытается на всех частотных каналах обнаружить 
кадры специального типа — так называемые кадры-маячки (Беасоп Їтатеѕ). Эти кадры 
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периодически, с интервалом 100 мс, посылает точка доступа, в них содержится ее МАС- 
адрес и идентификатор сети 5510. Активный режим отличается от пассивного тем, что 
станция сама посылает в радиосреду специальные кадры другого типа — пробные кадры 
(ргоБе гатез). Точка доступа, получив пробный кадр, отвечает на него, сообщая станции 
те же сведения о себе, что и в кадрах-маячках, то есть МАС-адрес и идентификатор 5510. 


Станция может одновременно получать кадры-маячки от нескольких точек доступа. 
Обычно решение о присоединении к одной из доступных сетей принимает пользователь, 
когда он видит на экране список идентификаторов сетей 5511, к которым он может при- 
соединиться, и выбирает одну из них. Станция может запомнить этот 551. и параметры 
аутентификации, использовавшиеся при присоединении к ней, в своем кэше, и в следую- 
щий раз попытаться присоединиться к этой сети автоматически, как только окажется в зоне 
покрытия точки доступа этой сети. Отметим, пользователь имеет возможность запретить 
автоматическое подключение к некоторым сетям (посредством изменения ряда настроек 
устройства). 

Когда сеть выбрана, станция посылает точке доступа кадр «Запрос на присоединение». 
Затем точка доступа инициирует процедуру аутентификации, и, если она успешна, то 
маршрутизатор распределенной системы, пользуясь протоколом ОНСР назначает станции 
ІР-адрес. Для адресов [Ру4 маршрутизатор, скорее всего, выдаст частный [Р-адрес, требу- 
ющий применения техники трансляции адресов МАТ (см. главу 28) для доступа станций 
сети к сети Интернет. Для адресов ГРуб адрес, скорее всего, будет выдан глобальный, так 
что трансляция адресов не понадобится. 


Управление потреблением энергии 


Энергию батарей ноутбуков и телефонов желательно экономить, и в стандарте \-Е1 
содержится основа для реализации процедур энергосбережения. В поле «Управление ка- 
дром» кадра №-Еі имеется бит «Управление питанием», который станция устанавливает 
в 1 в любое время, которое ей кажется походящим для перехода в спящий режим, когда 
она не передает и не принимает данные, тем самым экономя энергию батарей. Точка до- 
ступа, получив сигнал от станции, перестает посылать ей кадры данных, но если они по- 
ступают от маршрутизатора в течение периода неактивности станции, то точка доступа их 
буферизует. Правда, «сон» станции очень короток: она ставит себе таймер-будильник на 
100 мс, чтобы проснуться к следующему кадру-маячку. Проснувшись по таймеру, станция 
дожидается прихода очередного кадра-маячка. В этом кадре точка доступа передает список 
тех станций, для которых у нее есть буферизованные кадры. Найдя себя в списке, станция 
может служебным кадром запросить передачу буферизованных кадров. Если же за время 
периода неактивности кадры для станции не поступали, то станция может снова перейти 
в спящий режим до прихода следующего кадра-маячка. Таким образом, в тех случаях, когда 
у станции нет собственных кадров для передачи и никто ей не посылает кадры, она может 
проводить почти все время в «спячке». 


Распределенный режим доступа 


В сетях 802.11 уровень МАС поддерживает два режима доступа к разделяемой среде: рас- 
пределенный режим (РПіѕігіриќеа Соогаіпабіоп Еипсйіоп, ОСЕ), являющийся основным, 
и опциональный — централизованный режим (Роіпі Соогаіпабіоп Еџпсбіоп, РСЕ). 
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Рассмотрим сначала, как обеспечивается доступ к радиосреде в распределенном режиме 
ОСЕ В этом режиме реализуется метод СЗМА/СА (Саггіег Ѕепѕе Миире Ассеѕѕ уіїћ 
СоШ$1оп Ауо!Чапсе — метод прослушивания несущей частоты с множественным доступом 
и предотвращением коллизий). Вместо неэффективного в беспроводных сетях прямого 
распознавания коллизий по методу СЗМА/СО здесь они выявляются косвенно. Для этого 
каждый переданный кадр должен подтверждаться кадром положительной квитанции, по- 
сылаемым станцией назначения. Если же по истечении оговоренного тайм-аута квитанция 
не поступает, то станция-отправитель считает, что произошла коллизия. К слову, такой же 
метод доступа использовался в первых радиосетях АІоћа. 


Режим ОСЕ требует синхронизации станций. Точками синхронизации являются моменты 
окончания передачи очередного кадра (рис. 22.7). Никакие специальные синхронизирую- 
щие сигналы не используются. 


Среда Таймер отсрочки: 


Станция А 


Проверка: Проверка: Проверка: 
занято свободно свободно 
Начало Запуск 
интервала |Е $ таймера 
отсрочки 


Рис. 22.7. Распределенный режим доступа (ОСЕ) 


Предотвращение коллизий достигается за счет того, что каждая станция выбирает для 
передачи своего кадра случайный интервал времени, отсчитываемый от момента окончания 
передачи последнего по времени кадра. Вероятность того, что несколько станций выберут 
один и тот же случайный интервал, существует — и тогда произойдет коллизия — но она 
значительно меньше, чем вероятность коллизии при использовании метода СЗМА/СЬ, когда 
станции разрешается передавать кадр сразу же после окончания межкадрового интервала. 


Случайный интервал состоит из двух составляющих: межкадрового интервала (Ілїег- 
Егате Ѕрасе, [Е 5), равного постоянной величине, и случайного времени отсрочки. Значение 
межкадрового интервала ІЕ$ выбирается таким, что при определенном методе кодирова- 
ния и мультиплексирования данных в радиосреде все станции сети могут зафиксировать 
окончание передачи кадра, независимо от своего положения в зоне покрытия сети. 


Случайная отсрочка отсчитывается с момента истечения межкадрового интервала, она равна 
целому числу тайм-слотов определенной величины. Номер слота, в котором станция может 
передать кадр, выбирается как случайное целое число, равномерно распределенное в интер- 
вале [0, СУ], называемым конкурентным окном (Сопѓіепйоп УЛпдо\, СУ). Чем больше это 
окно, тем менее вероятен выбор несколькими станциями одного и того же слота для передачи 
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кадра. Однако станция не всегда может начать передавать кадр в выбранном слоте, а только 
при условии, что все слоты, начиная с нулевого и до выбранного, все это время оставались 
свободными, то есть в них не была зафиксирована передача кадра какой-либо другой стан- 
цией. Это условие достаточно естественное — зачем настаивать на использовании своего 
слота, если из занятости среды видно, что другая станция выбрала слот с меньшим номером. 


Доступ к радиосреде поясняется примером на рис. 22.7. Станция А выбрала для передачи 
слот 3. Она присваивает это значение некоторому счетчику — таймеру отсрочки — и прове- 
ряет состояние среды в начале каждого слота. Если среда свободна, то из значения таймера 
отсрочки вычитается 1, аесли результат равен нулю, то это означает, что подошло время 
выбранного слота и можно передавать кадр. 


Если же в начале какого-нибудь слота среда оказывается занятой, то вычитания единицы 
не происходит, а таймер «замораживается». В этом случае станция начинает новый цикл 
доступа к среде. Как и в предыдущем цикле, станция следит за средой и при ее освобож- 
дении делает паузу в течение межкадрового интервала. Если среда осталась свободной, 
то станция использует значение «замороженного» таймера в качестве номера слота и вы- 
полняет описанную процедуру проверки свободных слотов с вычитанием единиц, начиная 
с замороженного значения таймера отсрочки. 


Размер слота зависит от способа кодирования сигнала и выбирается так, чтобы он пре- 
восходил время распространения сигнала между любыми двумя станциями сети плюс 
время, затрачиваемое станцией на распознавание ситуации занятости среды. Для метода 
кодирования ЕНЪЗ5 (см. главу 21) размер слота равен 28 мкс, а для метода 0555 — 1 мкс. 


Описанный метод доступа старается предотвратить коллизию, но она все же может слу- 
читься. В этом случае станция, отправившая кадр, узнает об этом событии по истечении 
тайм-аута получения квитанции от станции получателя. Не получив вовремя квитанции, 
станция пытается передать кадр повторно. При каждой повторной неудачной попытке пе- 
редачи кадра значение конкурентного окна удваивается. А значит, вероятность повторной 
коллизии уменьшается. Как и в методе С5МА/СО, в данном методе количество неудачных 
попыток передачи одного кадра ограничено, но стандарт 802.11 не дает точного значения 
этого верхнего предела. Когда верхний предел в № попыток достигнут, кадр отбрасывается, 
а счетчик последовательных коллизий устанавливается в нуль (то же — если кадр после 
ряда неудачных попыток все же передается успешно). 


В режиме ОЕС применяются меры для устранения эффекта скрытого терминала. Для 
этого станция, которая хочет захватить среду и, следуя описанному алгоритму, начать 
передачу кадра в определенном слоте, вместо кадра данных сначала посылает станции на- 
значения короткий служебный кадр КТ$ (Кедиеѕі То Зеп4 — запрос на передачу). На этот 
запрос станция назначения, если она свободна, отвечает служебным кадром СТ (Цеаг То 
Ѕепа — свободна для передачи), после чего станция-отправитель посылает кадр данных. 
Кадр СТ оповещает о захвате среды станции, находящейся вне зоны сигнала станции- 
отправителя, но в пределах зоны досягаемости станции-получателя, то есть являющейся 
скрытым терминалом для станции-отправителя. 


Централизованный режим доступа 


Централизованный режим доступа (РСЕ) является опциональным, он используется 
в сетях \Л-Е1, когда требуется обеспечить приоритетное обслуживание чувствительного 
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к задержкам трафика. Метод РСЕ может применяться только в инфраструктурных В5$5, 
то есть сетях, имеющих точку доступа. В этом случае говорят, что точка доступа играет 
роль арбитра среды. Режим РСЕ в сетях 802.11 сосуществует с режимом ОСЕ Оба режима 
координируются с помощью трех типов межкадровых интервалов (рис. 22.8). 


Немедленный доступ 
при освобождении 
среды > 0ИЕ $ 


Конкурентное окно 


А Окно отсрочки РАГА Следующий кадр 


ЕСИ Ь 


Отложенный доступ Пока среда занята, выбор слота 


и уменьшение окна отсрочки 


Рис. 22.8. Сосуществование режимов РСЕ и ОСЕ 


После освобождения среды каждая станция отсчитывает время простоя среды, сравнивая 
его с тремя интервалами: 


Ц короткий межкадровый интервал (Ѕһогг 1Е $, З1Е$); 
О межкадровый интервал режима РСЕ (РІЕЅ); 
О межкадровый интервал режима ОСЕ (0ІЕЅ). 


Значения интервалов связаны соотношением ОТЕ$ > РІЕЅ > 51Е5. Захват среды с по- 
мощью распределенной процедуры режима ОСЕ возможен только в том случае, когда 
среда свободна в течение времени, равного или большего, чем ОТЕ$. То есть в качестве ІЕ$ 
в режиме ОСЕ нужно использовать интервал ПІЕЅ — самый длительный период из трех 
возможных, что дает этому режиму самый низкий приоритет. 


Межкадровый интервал 51Е5 имеет наименьшее значение и служит для первоочередного 
захвата среды станцией, которой нужно послать кадр ответа СТ. 


Промежутком времени между завершением РІЕЅ и ПІЕЅ пользуется арбитр среды. 
В этом промежутке он может передать специальный кадр, который говорит всем стан- 
циям, что начинается контролируемый период. Получив этот кадр, станции, которые 
хотели бы воспользоваться алгоритмом ОСЕ для захвата среды, уже не могут этого сде- 
лать, они должны дожидаться окончания контролируемого периода. Длительность этого 
периода объявляется в специальном кадре, но этот период может закончиться и раньше, 
если у станций нет чувствительного к задержкам трафика. В этом случае арбитр пере- 
дает служебный кадр, после которого по истечении интервала ОТЕ$ начинает работать 
режим ОСЕ 


На управляемом интервале реализуется централизованный метод РСЕ Арбитр выполняет 
процедуру опроса, чтобы по очереди предоставить каждой станции право на использование 
среды, направляя ей специальный кадр. Станция, получив такой кадр, может ответить 
другим кадром, который подтверждает прием специального кадра и одновременно пере- 
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дает данные (либо по адресу арбитра для транзитной передачи, либо непосредственно 
станции-получателю). Чтобы какая-то доля среды всегда доставалась асинхронному 
трафику, длительность контролируемого периода ограничена. После его окончания ар- 
битр передает соответствующий кадр, и начинается неконтролируемый период. Каждая 
станция может работать в режиме РСЕ — для этого она должна подписаться на эту услугу 
при присоединении к сети. 


Персональные сети и технология Віиеїооїћ 
Особенности персональных сетей 


Персональные сети (Регзопа! Агеа Мемогк, РАМ) предназначены для взаимодействия устройств, 
принадлежащих одному владельцу, на небольшом расстоянии, обычно в радиусе 10 метров. 


Типичным примером РАМ является беспроводное соединение компьютера с периферий- 
ными устройствами: принтер, наушники, мышь, клавиатура и т. п. Мобильные телефоны 
также используют технологию РАМ для соединения со своей периферией (чаще всего это 
наушники), а также с компьютером своего владельца. Персональные сети во многом по- 
хожи на локальные, но у них есть и свои особенности: 


О Область покрытия РАМ меньше области покрытия ГАМ, узлы РАМ часто находятся на 
расстоянии нескольких метров друг от друга. 


О Высокие требования к безопасности. Персональные устройства, путешествуя вместе со 
своим владельцем, попадают в различное окружение. Иногда они должны взаимодей- 
ствовать с устройствами других персональных сетей, например, если их владелец встре- 
тил на улице своего знакомого и решил переписать из его телефона в свой несколько 
адресов общих знакомых. В других случаях такое взаимодействие явно нежелательно, 
так как может привести к утечке конфиденциальной информации. Поэтому протоколы 
РАМ должны обеспечивать разнообразные методы аутентификации устройств и шиф- 
рования данных в мобильной обстановке. 


О При соединении в сеть бытовых приборов или малогабаритных устройств желание 
избавиться от кабелей проявляется гораздо сильнее, чем при соединении компьютера 
с принтером или концентратором. Из-за этого персональные сети в гораздо большей 
степени, чем локальные, тяготеют к беспроводным решениям. 


О Если человек постоянно носит устройство РАМ с собой и на себе, то оно не должно 
причинять вред его здоровью. Поэтому такое устройство должно излучать сигналы не- 
большой мощности, желательно не более 100 мВт (обычный сотовый телефон излучает 
сигналы мощностью от 600 мВт до З Вт). 


О И наконец, исходя из областей применения, можно сформулировать еще одно требо- 
вание — эта технология не должна быть дорогой. 


Сегодня самой популярной технологией РАМ является ВІџеѓооёћ, которая обеспечивает 
взаимодействие восьми устройств в разделяемой среде диапазона 2,4 МГц с битовой ско- 
ростью передачи данных до 3 Мбит/с. 
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Архитектура Віиџеїооїһ 


Стандарт Віџеќооёћ разработан группой ВшеооВ 51С (Вшеоо В Ѕресіа! Ицегезе Стоир), 
организованной по инициативе компании Егісѕѕоп. Стандарт ВшеооВ адаптирован ра- 
бочей группой ТЕЕЕ 802.15.1 в соответствии с общей структурой стандартов ІЕЕЕ 802. 
В технологии ВшеооВ используется термин пикосеть (рісопеї, рісо — маленький), кото- 
рый подчеркивает небольшую область покрытия — от 10 до 100 метров (в зависимости от 
мощности излучения передатчика устройства). Пикосеть относится к категории сетей Ад 
Нос — она создается произвольным образом, на относительно короткое время. В пикосеть 
может входить до 255 устройств, но только восемь из них могут в каждый момент времени 
быть активными и обмениваться данными. Одно из устройств в пикосети является глав- 
ным, остальные — подчиненными (рис. 22.9). (На рисунке также показана распределенная 
пикосеть, имеющая несколько главных узлов, о ней будет сказано позже.) 
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Рис. 22.9. Пикосеть и рассредоточенная сеть 


Активное подчиненное устройство может обмениваться данными только с главным устрой- 
ством (прямой обмен между подчиненными устройствами невозможен). Все устройства 
пикосети, не являющиеся активными, должны находиться в режиме пониженного энер- 
гопотребления, в котором они только периодически прослушивают команду главного 
устройства для перехода в активное состояние. 


Главное устройство отвечает за доступ к разделяемой среде пикосети, представляющей со- 
бой нелицензируемые частоты диапазона 2,4 ГГц. Пропускная способность среды делится 
главным устройством между семью подчиненными устройствами на основе техники ТОМ. 
Такая архитектура позволяет применять более простые протоколы в устройствах, выпол- 
няющих функции подчиненных (например, в радионаушниках), и отдает более сложные 
функции управления пикосетью компьютеру, который обычно является главным устрой- 
ством сети. Присоединение к пикосети происходит динамически. Главное устройство пи- 
косети, используя процедуру опроса, собирает информацию об устройствах, попадающих 
в зону его покрытия. Обнаружив новое устройство, главное устройство проводит с ним 
переговоры. Если желание подчиненного устройства присоединиться к пикосети совпадает 
с решением главного устройства (подчиненное устройство прошло проверку аутентичности 
и оказалось в списке разрешенных устройств), то новое подчиненное устройство присо- 
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единяется к сети. Безопасность сетей В[месоо обеспечивается за счет аутентификации 
устройств и шифрования передаваемого трафика. 


Несколько пикосетей, которые обмениваются между собой данными, образуют рассредоточен- 
ную сеть. Взаимодействие в пределах рассредоточенной сети осуществляется за счет того, что 
один узел (называемый мостом) одновременно является членом нескольких пикосетей, причем 
этот узел может исполнять роль главного устройства одной пикосети и подчиненного устройства 
другой. 


В сетях Вшеоо{® для передачи информации используются разные методы: 


О Для чувствительного к задержкам трафика (например, голоса) сеть поддерживает син- 
хронный канал, ориентированный на соединение (Ѕупсһгопоиѕ Соппесііоп-Огіепќей 
Пок, СО). Этот канал работает на скорости 64 Кбит/с. Для канала $СО пропускная 
способность резервируется на все время соединения. 


О Для эластичного трафика (например, компьютерных данных) используется рабо- 
тающий с переменной скоростью асинхронный канал, не ориентированный на со- 
единение (Аѕупсһгопоџиѕ Соппесиоп-[ез$ Пик, АСТ.). Для канала АСТ. пропускная 
способность выделяется по запросу подчиненного устройства или по потребности 
главного устройства. 


Віџеїооїћ является законченной оригинальной технологией, рассчитанной на самостоятельное 
применение в электронных персональных устройствах и поддерживающей полный стек прото- 
колов, включая собственные прикладные протоколы. В этом заключается ее отличие от рассмо- 
тренных ранее технологий, таких как Ећегпеї или ІЕЕЕ 802.11, которые лишь выполняют функции 
физического и канального уровней. 


Создание для технологии Вшеос {В собственных прикладных протоколов объясняется 
стремлением разработчиков реализовывать ее в разнообразных простых устройствах, 
которым не под силу, да и не к чему, поддерживать стек протоколов ТСР/ІР. Технология 
ВІџесооёћ появилась в результате попыток разработать стандарт для взаимодействия 
мобильного телефона с беспроводными наушниками. Понятно, что для решения такой 
простой задачи не нужен ни протокол передачи файлов (ЕТР), ни протокол передачи 
гипертекста (НТТР). В результате для технологии ВіІџесооѓгћ был создан оригинальный 
стек протоколов, в дополнение к которому появилось большое количество профилей. 
Профили определяют конкретный набор протоколов для решения той или иной задачи. 
Например, существует профиль для взаимодействия компьютера или мобильного теле- 
фона с беспроводными наушниками. Имеется также профиль для тех устройств, которые 
могут передавать файлы (наушникам он, скорее всего, не потребуется), профиль эмуляции 
последовательного порта К5-232 ит. д. 


Поиск и стыковка устройств Віиеїооїћ 


Устройство, поддерживающее технологию ВІиеѓооёћ, обычно посылает периодические 
запросы на предмет обнаружения других устройств В]аефоо"В в зоне досягаемости. Устрой- 
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ство ВІџеѓооѓћ, получившее запрос и сконфигурированное так, чтобы отвечать на запросы, 
в ответ передает сведения о себе: имя и тип устройства, имя производителя, поддержи- 
ваемые сервисы. Имя устройства конфигурируется, в отличие от его уникального МАС- 
адреса, который задается производителем. Отметим, часто устройства выпускаются со 
сконфигурированными по умолчанию именами, соответствующими названию модели 
устройства, поэтому в сфере досягаемости вашего мобильного телефона может оказаться 
несколько других телефонов с одинаковыми именами ВіІџеќооёћ, если их владельцы не 
дали им собственные имена. 


После предварительного обмена информацией устройства ВІџеѓооѓћ могут начать так 
называемую процедуру стыковки (раігіпе), если конфигурация устройств ее требует. 
Стыковка подразумевает установление защищенного канала (см. главу 29) между 
устройствами; безопасность в данном случае означает, что устройства доверяют друг 
другу, а данные между ними передаются в зашифрованном виде. Стыковка устройств 
Вщеос{В требует введения в каждое из них одного и того же пароля, называемого так- 
же РІМ-кодом Вметос{В. Обычно устройство, получившее запрос на стыковку, просит 
пользователя ввести РІХ-код. Устройства, успешно прошедшие процедуру стыковки, 
запоминают этот факт и устанавливают безопасное соединение автоматически всякий 
раз, когда оказываются в зоне досягаемости, при этом повторное введение РІМ-кода 
пользователем не требуется. Устройство сможет быть сконфигурировано пользователем 
(производителем) таким образом, чтобы разрешать установление соединений с другими 
устройствами без процедуры стыковки. 


Физический уровень Віиеїооїћ 


Сеть ВІџесооёћ использует технику расширения спектра ЕН$$ в диапазон частот 2,4 ГГц. 
Чтобы сигналы разных пикосетей не интерферировали, каждое главное устройство исполь- 
зует собственную последовательность псевдослучайной перестройки частоты. Наличие 
различающихся последовательностей псевдослучайной перестройки частоты затрудняет 
общение узлов, принадлежащих разным пикосетям в рассредоточенной сети. Для преодо- 
ления этой проблемы устройство-мост должно при подключении к каждой из пикосетей 
соответствующим образом менять последовательность. 


Каждый частотный канал ЕН55 имеет ширину 1 МІЦ, количество каналов равно 79 
(в США и большинстве других стран) или 23 (в Испании, Франции, Японии). Скорость 
изменения частоты канала равна 1600 Гц. Главное устройство пикосети делит между под- 
чиненными станциями общую среду на основе временного мультиплексирования (ТОМ), 
используя в качестве тайм-слота время пребывания системы на одном частотном канале, 
то есть 625 мкс. В течение одного тайм-слота пикосеть ВіІџеѓоосћ передает 625 бит, но не 
все они служат для передачи полезной информации — при смене частоты устройствам сети 
требуется некоторое время для синхронизации, поэтому из 625 бит только 366 передают 
данные кадра. 


Устройства ВіІџеѓооѓћ делятся на три класса в зависимости от мощности передатчика 
и предполагаемой дальности его работы (табл. 22.2). 


Физический уровень стека протоколов ВІџеѓооёћ постоянно совершенствуется. Версия 1.0 
стандартов стека была принята в 1999 году, а последняя на момент написания данной книги 
версия 5.1 принята в январе 2019 года. 
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Таблица 22.2. Классы устройств Віиеїооїћ 


В версии В]чегоо\ 1.0 информация кодируется с тактовой частотой 1 МГц путем двоичной 
частотной манипуляции (ВЕЗК) — в результате битовая скорость составляет 1 Мбит/с. 


В версии 2.0 введен режим улучшенной скорости передачи данных (ЕпБапсе4 Рака Каѓе, 
ЕОК), в котором для кодирования данных используется комбинация методов частот- 
ной (ВЕЗК) и фазовой (РЭК) модуляции, позволивших повысить битовую скорость до 
3 Мбит/с, а полезную скорость передачи данных — до 2,1 Мбит/с. Режим ЕРК дополняет 
основной режим передачи данных со скоростью 1 Мбит/с. Кадр данных может занимать 
1, З или 5 слотов. Когда кадр занимает больше одного слота, частота канала остается не- 
изменной в течение всего времени передачи кадра. В этом случае накладные расходы на 
синхронизацию меньше, так что размер кадра, состоящего, например, из пяти последова- 
тельных слотов, равен 2870 бит (с полем данных — до 2744 бит). 


В апреле 2009 года группа ВшегосВ 51С объявила о совершенно новом дополнительном 
стеке протоколов под названием Вшесоо Іоу Епегду (В]шеосВ Г.Е). Этот стек раз- 
рабатывался группой В]мекооВ 51С совместно с компанией Мова и был первоначально 
известен под названием У/Ьгее. Протоколы Вшесоо Г.Е предназначены для устройств, 
батареи которых должны иметь примерно годичный срок действия; это могут быть, на- 
пример, наручные часы или медицинские приборы. Технология Веоо Е получила 
маркетинговое название ВІџеѓооёћ Зтагё и сегодня реализована в большинстве смарт- 
телефонов и планшетов. Существуют реализации протоколов Ваеоо Зтаг( в качестве 
единственного стека протоколов ВІоеѓооёћ некоторого устройства, а также в варианте вто- 
рого стека протоколов, работающего наряду с классическим стеком, — в этом случае такое 
устройство маркируется как Вшеоо Ѕтагі Кеаду. Для передачи данных Вшеюо ГЕ 
использует тот же частотный диапазон 2,4 ГГц, что и классический вариант ВІиеѓооёћ, но 
в нем организуется не 79 каналов с полосой 1 МГц, а 40 каналов с полосой 2 МГц каждый. 
Битовая скорость передачи данных В]иеоой Г.Е составляет 1 Мбит/с. Передача голоса 
по ВіІџеќооѓћ Г.Е не предусмотрена. 


Спецификация ВІџеѓооёћ Г.Е описана в версии ВІџеѓооѓћ 51С 4.0 стандарта, а в версии 
Вшесоо"® 5 вводятся некоторые ее усовершенствования: 


О Скорость передачи данных увеличена до 2 Мбит/с (при этом скорость передачи поль- 
зовательских данных возросла в 1,7 раза, так как интервалы между кадрами данных 
остались прежние). 


О Введен специальный режим Гопя Юіѕќапсе (1.0) — большие расстояния, — предназна- 
ченный для объектов Интернета вещей, которым нужно взаимодействовать на расстоя- 


і Большинство бытовых устройств В]цебос{В относятся ко 2 классу. 


2 Дальность указана предполагаемой, поскольку не учитывается наличие препятствий между пере- 
датчиком и приемником и уровня помех в радиосреде. На практике она может оказаться меньше 
заявленной. 
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ниях, больших чем 100 м, и при этом соблюдать режим энергосбережения своей батареи. 
Увеличение расстояния достигается за счет уменьшения битовой скорости передачи 
данных в два раза, по сравнению с Вшебоо В ГЕ, то есть до 1 Мбит/с, и применения 
самокорректирующихся кодов ЕЕС. Существует две опции применения кодов ЕЕС. 
В первой опции каждый исходный бит данных заменяется двумя битами результиру- 
ющего кода ЕЕС. При этом скорость пользовательских данных уменьшается в два раза 
по сравнению со скоростью передачи данных, то есть равна 500 Мбит/с, а максимальное 
расстояние увеличивается примерно вдвое, то есть до 200 м. Во второй опции каждый 
исходный бит данных заменяется 8 битами кода ЕЕС, скорость пользовательских дан- 
ных уменьшается в 8 раз, то есть становится равной 125 Мбит/с, но зато максимальное 
расстояние увеличивается в 4 раза, то есть примерно до 400 метров. 


ГЛАВА 23 Мобильные 


телекоммуникационные 
сети 


Мобильные телекоммуникационные сети прошли несколько этапов в своем развитии. 
Первое их поколение предоставляло только услуги телефонии, но, в отличие от традици- 
онных телефонных сетей, абонент мог свободно перемещаться с мобильным телефоном по 
большой территории, которая являлась территорией покрытия провайдера этого абонента, 
не прерывая разговора при своих перемещениях, даже если он передвигался с большой 
скоростью, находясь в автомобиле или поезде. 


Затем эти сети стали все больше и больше уделять внимание таким услугам, как доступ 
к Интернету, и в конце концов превратились из телефонных сетей в интегрированные 
телекоммуникационные сети, в которых услуги компьютерных сетей играют не меньшую 
роль, чем услуги телефонии. Начиная с 4-го поколения, мобильные сети стали ІР-сетями, 
предоставляющими все услуги на основе передачи данных в ІР-пакетах. Мобильные сети 
5-го поколения (5С) обещают стать не только качественными сетями доступа к Интернету, 
но и вполне самостоятельными компьютерными сетями, играющими главную роль в соз- 
дании Интернета вещей с его подвижными и неподвижными «пользователями»: роботами, 
автономными автомобилями, бытовыми приборами, «умными» домами и т. п. Мобильность 
связи во многих случаях оказывается решающим фактором, позволяя создавать автома- 
тизированные системы, которые трудно было бы создать с помощью проводных сетей. 
Для достижения этой цели в мобильных сетях 5С собираются использовать все последние 
достижения в области виртуализации и программируемости компьютерных сетей. 


Абонентские устройства мобильных сетей заметно эволюционировали по мере развития 
этих сетей. Первоначально это были мобильные телефоны, которые могли выполнять 
только телефонные звонки. По мере развития мобильных сетей их абонентские устройства 
превратились из телефонов в полноценные компьютеры с мощными процессорами, слож- 
ной операционной системой и разнообразными приложениями. Появились новые типы 
абонентских устройств: планшеты, навигаторы автомобилей и другие автономные (то есть 
не находящиеся, как телефон, под непосредственным контролем человека) системы, исполь- 
зующие мобильную сеть для передачи своих сообщений. Иногда для краткости мы в этой 
главе будем называть разные типы абонентских устройств мобильной сети телефонами. 


Принципы мобильной связи 


Соты 


Несмотря на существенные отличия в предоставляемых услугах и применяемых техноло- 
гиях, мобильные сети всех поколений используют принцип сот. Сота представляет собой 
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зону покрытия одной базовой станции (БС), занимая небольшую территорию — от сотни 
метров в городах до 10-35 км в сельской местности. В мобильной сети, как и в стационар- 
ной телефонной сети, имеются коммутаторы, соединяющие мобильных абонентов между 
собой на основе техники коммутации каналов. Коммутаторы соединены друг с другом 
и с одной или несколькими БС проводными линиями связи. 


Идея сот родилась не сразу — первые мобильные телефоны работали по другому прин- 
ципу, обращаясь к одной БС, покрывающей большую территорию. Идея небольших сот 
была впервые сформулирована еще в 1945 году, но прошло довольно много времени, пре- 
жде чем заработали первые коммерческие сотовые телефонные сети — пробные участки 
появились в конце 60-х, а их широкое коммерческое применение началось в начале 80-х. 


Мобильные телефонные сети также называют сотовыми сетями, подчеркивая их терри- 
ториальную организацию. Сота небольшого размера имеет несколько преимуществ перед 
большой сотой. Прежде всего мощность телефона может быть небольшой для устойчивого 
взаимодействия с БС на небольших расстояниях. Это свойство сотовой связи очень важно, 
так как позволяет создавать мобильные телефоны небольших размеров, не требующих 
сверхъемких батарей для поддержания автономной работы телефона в течение многих 
часов без подзарядки. Кроме того, чем меньше сота, тем меньше абонентов одновременно 
находится в ее пределах, а это означает, что на каждого пользователя приходится большая 
доля ресурсов сети, в первую очередь — пропускной способности разделяемой радиосреды 
соты. Известно, что в сетях Е(ћегпеѓ на разделяемой среде администраторы старались не 
допускать более 30 узлов во избежание чрезмерного количества коллизий. В мобильных 
сетях методы разделения среды другие, но эффект ее разделения тот же — чем больше 
пользователей совместно используют среду, тем меньше ресурсов приходится на каждого 
пользователя. Для повышения емкости сети (то есть максимального числа одновременно 
обслуживаемых пользователей) стали применяться небольшие соты размером в несколько 
десятков метров. 


Разделение соты между телефонами пользователей происходит за счет применения од- 
ного из методов мультиплексирования: ЕОМА, СОМА или ОЕМ. С помощью метода 
мультиплексирования создается отдельный частотный или кодовый физический канал. 
Физический канал передает дискретную информацию — поток битов — в закодирован- 
ном виде, применяя, например, методы кодирования РК, ОРЗК, 16-ОАМ или 64-ОАМ. 
Дальнейшее разделение пропускной способности физического канала выполняется на 
основе временного мультиплексирования ТОМ, при котором различным логическим 
каналам по очереди предоставляются тайм-слоты. Сочетание двух различных методов 
мультиплексирования — частотного и временного или кодового — характерная особенность 
мобильных сетей всех поколений. Применение техники синхронного ТОМ требует точной 
синхронизации телефона и БС, она осуществляется за счет постоянной передачи сигналов 
синхронизации на выделенном частотном канале, называемом пилотным каналом. 


Принцип разбиения всей области охвата сети на небольшие соты дополняется идеей 
многократного использования частоты. На рис. 23.1 показан вариант организации сот 
при наличии всего трех частот, при этом ни одна из соседних пар сот не задействует одну 
и ту же частоту. Многократное использование частот позволяет оператору экономно рас- 
ходовать выделенный ему частотный диапазон, при этом абоненты и БС соседних сот не 
испытывают проблем из-за интерференции сигналов. Конечно, БС должна контролировать 
мощность излучаемого сигнала, чтобы две несмежные соты, работающие на одной и той 
же частоте, не создавали друг другу помех. 
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Рис. 23.1. Многократное использование частот в сотовой сети 


При гексагональной форме сот количество повторяемых частот может быть больше, чем 
3, например 4, 7, 9, 12, 13 ит. д. Однако не все технологии разделения радиосреды требуют 
использования различных частот в смежных сотах. Так, при использовании технологий 
СОМА и ОЕОМ все соты могут работать на одной и той же частоте, при этом проблема ин- 
терференции сигналов пользователей смежных сот решается за счет динамического управ- 
ления мощностью сигнала каждого телефона. Часто для повышения эффективности работы 
сети соседние соты объединяются в так называемую область локализации ([Г.осайоп Агеа), 
которая имеет свой идентификатор, называемый кодом области локализации (1.осабіоп 
Агеа Со4е, ГАС). При такой организации сот коммутаторы сети знают местоположение 
телефона с точностью до области локализации, а не соты. 


Установление соединения 


Чтобы пользоваться услугами мобильной сети, телефон пользователя должен выполнить 
процедуру регистрации, которая состоит в следующем. Каждая БС периодически посылает 
сигналы по специальному, выделенному для этой цели каналу, называемому пилотным 
(см. ранее), на той частоте, которая была выделена данной станции. Включенный мобиль- 
ный телефон сканирует радиоэфир, поскольку может получать сигналы от нескольких 
базовых станций, после чего выбирает ту БС, сигнал которой имеет наибольшую мощность. 


В результате телефон выбирает одну из БС, с которой он будет работать. Затем выпол- 
няется процедура «рукопожатия», когда телефон через БС обменивается информацией 
с коммутатором мобильной сети, к которому эта станция подключена. Коммутатор 
идентифицирует пользователя и регистрирует его местоположение (запоминает, в какой 
области локализации он находится), после чего выполняется аутентификация пользова- 
теля на основании секретной информации, которая хранится в телефоне. После успешной 
аутентификации процедура регистрации считается завершенной и пользователь может 
выполнять звонки, вызывая других абонентов сети. Схематично процедура установления 
соединения с другим абонентом сети может быть представлена следующими этапами 


(рис. 23.2). 


О Абонент А набирает номер абонента Б, после чего его телефон посылает номер вызыва- 
емого абонента базовой станции БСТ, которая пересылает его коммутатору мобильной 
сети КЇ (этап 1). 


Ч 


О 
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Коммутатор К1 пересылает сообщение вызова коммутатору К2, используя для марш- 
рутизации вызова номер вызываемого абонента (этап 2). 


Коммутатор К2 не знает точно, в какой соте находится абонент Б, поэтому он рас- 
сылает так называемое сообщение пейджинга (раріпе ѕірпа]), в котором указывается 
номер вызываемого абонента, базовым станциям всех сот той области локализации, 
в которой вызываемый абонент был активен в последний раз. Пусть такой областью 
является область локализации 2 — значит, сообщение пейджинга посылается базовым 
станциям Зи 4 (этап 3). 


О Базовые станции З и 4 ретранслируют сообщение пейджинга всем телефонам своих сот 


на общем канале, специально отведенным для этой цели. 
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Рис. 23.2. Установление соединения в мобильной сети 
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О Сообщение пейджинга сигнализирует абоненту, что его вызывает другой абонент. 
Поскольку все телефоны постоянно сканируют пейджинговый канал БС той соты, 
где они в данный момент находятся, телефон вызываемого абонента Б, как и другие 
телефоны, принимает пейджинговый вызов от БСЗ своей соты и, обнаружив, что 
в сообщении указан его номер, посылает БСЗ подтверждение приема, а та передает 
его коммутатору К2. 


О Коммутаторы К1 и К2 устанавливают составной канал между базовыми станциями 
обоих абонентов. После этого каждый коммутатор выбирает в каждой БС свободный 
частотный голосовой канал и уведомляет об этом выборе базовые станции, а они уве- 
домляют об этом телефоны абонентов А и Б. Оба телефона настраиваются на указанные 
им голосовые каналы. Если при вызове абонента в соте нет ни одного свободного голо- 
сового канала, то телефон повторяет вызов несколько раз, а потом передает абоненту 
специальный сигнал занятости сети. 


О В процессе разговора происходит обмен голосовыми сигналами по установленному 
каналу из конца в конец (в примере БС1-К1-К2-БС2). 


Если телефон одного из абонентов переходит во время разговора из одной соты в другую, 
то выполняется процедура эстафетной передачи. Голосовой канал при этом изменяется, 
а телефон автоматически переключается на новый голосовой канал в новой соте. 


Эстафетная передача 


Одной из основных особенностей мобильной сети является переход телефона из одной 
соты в другую. Такая ситуация обрабатывается специальной процедурой, называемой 
эстафетной передачей. Эстафетная передача заключается в том, что телефон переключа- 
ется с приема сигнала от одной БС на прием сигнала от другой БС. Эстафетная передача 
в мобильных сетях осуществляется под управлением БС, прозрачным для абонента сети 
способом, в частности, если во время передачи происходит телефонный разговор, то он не 
прерывается. 


Главный параметр, на основании которого БС принимает решение об эстафетной пере- 
даче, — мощность сигнала, принимаемого телефоном от БС. О мощности принимаемого 
сигнала телефон периодически сообщает этой станции (так как телефон может принимать 
сигналы нескольких БС, то он уведомляет «свою» станцию о мощности сигналов от каж- 
дой из этих БС). Решение о смене БС может приниматься исходя из разных стратегий, 
например: 


Ц если мощность сигнала БС текущей соты становится ниже мощности сигнала БС от 
какой-либо другой соты; недостаток — пинг-понг между сотами из-за флюктуаций 
в уровнях мощности сигнала; 


О если мощность сигнала БС новой соты превышает мощность сигнала БС текущей соты 
на определенную величину; такое правило предотвращает эффект пинг-понга; 


О при выполнении двух условий: а) мощность сигнала БС текущей соты падает ниже 
некоторого порога; 6) мощность сигнала БС новой соты превышает мощность сигнала 
БС текущей соты на определенную величину. 
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Управление мобильностью 


Под управлением мобильностью понимается отслеживание сетью перемещений телефона 
между ее сотами (в результате эстафетной передачи или же в результате нового присо- 
единения телефона к сети после его выключения), назначение ему нового номера, если 
это необходимо, а также реконфигурация маршрутизации вызовов и трафика к телефону 
при его перемещении между сотами. Обычно в сети провайдера имеются специальные 
элементы, специализирующиеся на управлении мобильностью. Одним из них является 
домашняя база данных пользователя, в которой всегда имеется актуальная информация 
о том, в какой соте (или в какой области локализации) сейчас находится (или находился 
в последний раз, когда он был активен) телефон. Информация о текущей точке присоеди- 
нения телефона к мобильной сети обновляется в домашней базе данных коммутаторами 
сети, а также другими специальными элементами. 


Мобильность — это широкое понятие, сценарии мобильности могут быть разные (см. 
главу 21). Напомним, сценарии мобильности делятся на две категории — с сохранением 
логических соединений (например, сессии телефонного разговора) между мобильными 
устройствами при перемещении между сотами и без их сохранения. Сотовые сети относят- 
ся ктипу мобильных сетей, сохраняющих активную телефонную сессию при перемещении 
между сотами. Если телефон перемещается между сотами и в это время выключен или 
не поддерживает активной телефонной сессии, то мобильность также обеспечивается, но 
процедура ее поддержки упрощается. 


Для управления мобильностью были разработаны специальные протоколы слоя управле- 
ния (в телефонных сетях протоколы этого слоя называются сигнальными протоколами), 
с помощью которых в домашней базе данных обновляется информация о текущей точке 
присоединения телефона, а коммутаторы сети узнают, каким образом им надо маршру- 
тизировать сообщение вызова, направленное телефону. Традиционно в мобильных сетях 
применяются оригинальные протоколы и процедуры поддержания мобильности, разрабо- 
танные вне сообщества Интернета. Но с переходом мобильных сетей на протокол ІР такая 
ситуация меняется, и в них стали применяться версии протокола мобильный ІР (Мое 
ІР), который изначально был разработан для сохранения ІР-адреса хоста Интернета, пере- 
мещающегося между различными проводными [Р-сетями (рассмотрим эти версии перед 
изучением последнего поколения мобильных сетей 5С, применяющих мобильный 1Р). 


Мобильные сети первых поколений 


Принято разделять технологии мобильных сетей на поколения, каждое из которых харак- 
теризуется значительными изменениями в наборе услуг и в архитектуре. Мы опускаем 
описание мобильных сетей первого поколения АМР$ (А4уапсед Мое Рћопе Ѕуѕѓет), 
появившихся в начале 80-х, так как в них отсутствовала услуга передачи компьютерных 
данных. Голосовые данные передавались в аналоговой форме, поэтому использовать сети 
АМР5 для передачи компьютерного трафика можно было только с помощью модемов (точ- 
но так же, как используются для этой цели и стационарные аналоговые телефонные сети). 


Мобильные сети СМ (С]оБа| Ѕуѕќет Юг Мое СоттишсаНоп$ — глобальная система 
для мобильных коммуникаций) были стандартизованы европейским институтом ЕТІ 
в 1990 году, быстро завоевали популярность и были внедрены во многих странах, поэтому 


Глава 23. Мобильные телекоммуникационные сети 725 


название СЗМ долго оставалось синонимом мобильных сетей. Эти сети относят ко второму 
поколению, так как голос в них стал передаваться в цифровой форме. Многие принципы 
и механизмы СЗМ были в том или ином виде использованы и в мобильных сетях следу- 
ющих поколений. 


Перечислим основные технические характеристики сетей СЗМ: 


О Мультиплексирование частотных каналов выполняется в соответствии с техникой 
частотного мультиплексирования ЕРМА. 


О Для коммутации голосовых каналов применяется техника коммутации каналов, 
а в качестве сигнальных протоколов используются протоколы телефонных сетей 557 
(51впаШпв Зу$ет 7), модифицированные для работы в мобильной сети. 


О Для передачи компьютерных данных в сети СЅМ организуется отдельная сеть с комму- 
тацией пакетов, предоставляющая услугу СРКЅ (Сепега! Раскеѓ Ка 10 Ѕегуісе) — общую 
услугу пакетного радиосервиса. Скорости передачи данных средствами СРЁК$ невелики: от 
10-20 Кбит/с в первой версии СРК до 200-300 Кбит/с в усовершенствованной версии 
ЕСРК5 (называемой также ЕРСЕ). Услуга передачи компьютерного трафика появилась 
в сетях СМ не сразу, поэтому сети С$М/СРЕ$ иногда называют сетями поколения 2.5. 


О Трафик голосовых каналов СЗМ шифруется в радиосреде на основе индивидуальных 
секретных ключей пользователей. 


К мобильным сетям второго поколения относятся также сети СОМ Аопе, применявшие, как 
видно из названия, технику мультиплексирования СОМА и получившие распространение 
только в Северной Америке и Японии. 


Архитектура сети @С$М 


Перечислим основные элементы архитектуры сети СЗМ (рис. 23.3): 


Радиосеть доступа СЅМ (Кайіо Ассеѕѕ Ме\хогКк) образуют приемо-передающие базовые 
станции (Ваѕе Тгапѕсеіуег Збайоп, ВТ$) и контроллер базовых станций (Вазе За Йоп 
СопїгоПег, ВЅС). 


Контроллер ВС резервирует радиочастоты для пользователей, выполняет эстафетную 
передачу между сотами и пейджинг. Он может управлять несколькими приемопередатчика- 
ми. Отметим, что приемопередатчики лишены интеллектуальных функций — это простые 
модемы, выполняющие команды контроллера ВС. 


Остальные узлы сети СМ, показанные нарис. 23.3, составляют магистральную сеть (Соге 
Меѓумогк). Каналы, связывающие сеть радиодоступа с магистральной сетью, часто называют 
транзитной сетью (Васкћаиш! М№Меѓжогк). 


Коммутатор мобильной сети (МоЫе Ѕуіссһіпе Сепіге, МС) выполняет коммутацию 
каналов мобильных пользователей либо передает их данные в телефонную сеть общего 
пользования (ТфОП), обращаясь к трем базам данных: 


НІК (Ноте Госайоп Керіѕќег) — домашняя база пользователей мобильной сети, то есть 
пользователей, идентификатор и номер телефона которых постоянно «связан» с данной 
мобильной сетью (база данных пользователей некоторого провайдера мобильной сети). Эта 
база централизована, то есть в сети некоторого провайдера мобильной сети она является 
единственной. В домашней базе НІВ всегда имеется информация о текущем местополо- 
жении телефона мобильного пользователя. 
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Рис. 23.3. Архитектура сети @$М 


УГВ (У1іѕісог Госабйоп Керіѕѓег) — база данных пользователей-посетителей, которые 
в данный момент находятся в зоне покрытия некоторого коммутатора М5С; у каждого 
коммутатора есть отдельная база УІК. Если в одной из сот активируется телефон, то свя- 
занный с этой сотой коммутатор помещает информацию о пользователе в свою базу УК 
и оповещает об этом домашнюю базу НІК. 


АиС (Аи еписайоп Сепіге ОабаБазе) — база данных аутентификационного центра. 


Организация радиодоступа в сети С$М 


Сеть СЅМ может работать в двух диапазонах спектра: 900 МГц (основной диапазон) 
и 1800 МГц (дополнительный диапазон). 


В диапазоне 900 МГи для сети СЗМ отведено две полосы по 25 МІЦ, одна из которых пред- 
назначена для передачи данных от сети к телефону (будем называть ее полосой приема, 
рассматривая направление по отношению к телефону), а другая — для передачи данных 
от телефона к сети (будем называть ее полосой передачи). В диапазоне 1800 МГц эти по- 
лосы шире — по 75 МГц. Как полоса приема, так и полоса передачи делятся на частотные 
каналы шириной в 200 кГц, мультиплексируемые в радиосети (в соответствии с техникой 
частотного мультиплексирования ЕОМА). Таким образом, в диапазоне 900 МГц оператор 
располагает 125 физическими каналами по 200 кГц, а в диапазоне 1800 МГц таких каналов 
в три раза больше (375). 


Для предотвращения интерференции между сигналами пользователей, находящихся 
близко к границам соседних сот, в сети радиодоступа СЗМ применяется метод повторного 
использования частот с назначением различных частот смежным сотам. Для повышения 
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числа одновременно обслуживаемых абонентов сота обычно делится на 2-3 сектора, 
каждый из которых обслуживается отдельным приемопередатчиком БС и использует от- 
дельный частотный канал. 


Скорость передачи цифровых данных в радиоэфире ограничена шириной отдельного 
физического канала (200 кГц) и составляет 270 Кбит/с. В каналах СЅ5М применяется 
модуляция СМ$К (Саиѕѕіап НЦегеа Міпітит ЗЫ Кеу!15), в которой информационным 
параметром является частота сигнала, имеющая два значения, то есть символ кода СМК 
имеет два значения, а скорость передачи битов данных равна в этом случае скорости мо- 
дуляции сигнала. Для уменьшения влияния боковых гармоник сигнала, характерных для 
частотной модуляции, результирующий сигнал формируется после прохождения фильтра 
Гаусса — отсюда в названии метода кодирования и появилась приставка Сацѕѕіап ЁІсегеаӣ. 
Этот метод кодирования был выбран из-за того, что он имеет пониженные требования 
к мощности телефона по сравнению с другими методами и тем самым продлевает время 
работы батареи. 


Физический канал СЗМ со скоростью 270 Кбит/с разделяется на тайм-слоты в соответ- 
ствии с техникой синхронного ТОМ. Порция данных, передаваемая в течение тайм-слота, 
называется в технологии СЗМ пульсацией (Бигѕіє). Пульсация состоит из поля в 114 бит, из 
которых половина отведена для бит кода ЕЕС, поэтому одна пульсация переносит только 
57 бит пользовательских данных. Такое «щедрое» выделение бит для кодов ЕЕС объясня- 
ется высоким уровнем битовых ошибок в радиосети доступа. Скорость пользовательских 
данных (без учета данных ЕЕС) в канале на основе одного тайм-слота равна 11,4 Кбит/с. 
Для уменьшения влияния помех в сетях СЗМ также применяется техника расширения 
спектра медленной скачкообразной перестройкой частоты ЕН$$. 


В радиосети СЭМ существует большое количество логических каналов разного типа, об- 
разуемых путем отображения данных на тайм-слоты (один или несколько) физического 
канала. Скорость логического канала может меняться за счет изменения количества вы- 
деленных ему тайм-слотов физического канала. Активному пользователю (находящемуся 
в процесс соединения с другим пользователем) назначается два индивидуальных логиче- 
ских канала — передачи данных и передачи управляющей информации. После окончания 
соединения эти каналы у него отбираются. Из общих логических каналов наиболее важ- 
НЫМИ ЯВЛЯЮТСЯ: 


О Канал синхронизации (пилотный канал), который телефоны используют для вхожде- 
ния в побитовый и посимвольный синхронизм с БС. 


О Канал пейджинга, с помощью которого БС выполняет вызов абонента. 


О Общий управляющий канал, по которому БС широковещательно и периодически рас- 
пространяет информацию о соте: ее идентификатор, код области ГАС и др. 


О Канал случайного доступа. По этому общему каналу телефон запрашивает доступ 
к радиосреде в тех случаях, когда пользователь делает вызов или же вызов приходит 
от другого пользователя по каналу пейджинга. Телефон пользователя посылает в этих 
случаях сообщение по этому каналу в случайный момент времени, не синхронизиро- 
ванный с другими пользователями, поэтому коллизии в этом канале вероятны. Если 
произошла коллизия, то сообщение теряется и БС на него не отвечает. Телефон, не 
получив ответа, делает случайную паузу и повторяет запрос. Такой метод случайного 
доступа к разделяемой среде отличается от метода С5МА/СО, принятого в сетях 
Е Бегпе%. 
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Идентификация абонента и телефона 


Технология СЗМ ввела такое новшество, как сменная карта $1М (ЅиБѕсгіБег Ідепќіѓу 
Моше, модуль идентификации подписчика). В $ М-карте хранятся идентификатор або- 
нента и секретный ключ, используемый для аутентификации абонента и шифрации его 
данных. Идентификатор абонента также хранится в домашней базе провайдера НІК, а его 
секретный ключ — в базе аутентификации АцС. Заметим, что номер телефона в $ М-карте 
на хранится (он имеется только в домашней базе НІК). 


Идентификатор абонента ІМ$І (Пцегпайопа! Мое ЅиБѕсгіБег 1Чешку) состоит из кода 
страны (3 цифры), кода провайдера (2-3 цифры) и идентификатора абонента — 10 цифр. 
Когда абонент регистрируется в сети, его телефон посылает код МЗ! коммутатору, который, 
в свою очередь, посылает запрос в домашнюю базу НІК. НІК находит в своей базе нужного 
абонента по его [М$Г и передает в коммутатор данные о его телефонном номере, подписках 
и его секретный ключ (все эти данные коммутатор сохраняет в базе данных посетителей 
УГК). С одним и тем же идентификатором абонента [М$Т может быть связано несколько 
телефонных номеров, что удобно при смене номера (но не провайдера) — $51М-карту не нуж- 
но заменять (достаточно отредактировать запись в НІК). Таким образом, основным иден- 
тификатором телефона в мобильной сети является не его номер, а идентификатор абонента 
ПМТ, которому принадлежит этот телефон. Такая схема идентификации абонентов и теле- 
фона, помимо сетей СМ, используется и во всех мобильных сетях следующих поколений. 


При перемещении телефона между сотами информация о его текущем местоположении 
корректируется с помощью сообщений об обновлении местоположения, которые телефон 
посылает сети. Для сокращения интенсивности обменов служебной информацией между 
телефоном и сетью в целях экономии ресурсов радиосреды и батареи телефон посылает 
сообщение обновления местоположения не всякий раз, когда он переходит от соты к соте, 
а только тогда, когда старая и новая соты принадлежат к разным областям локализации. 
Соты объединяются в область локализации оператором сети, причем одна область может 
содержать от единиц до десятков сот (в зависимости от разных обстоятельств — плот- 
ности пользователей в данной области, размера сот ит. п.). При присоединении к новой 
соте в процессе эстафетной передачи телефон получает от БС ее код ГАС, и только если 
он не совпадает с кодом [ГАС старой соты, посылает коммутаторам сети сообщение об об- 
новлении местоположения с новым кодом ГАС. Таким образом, коммутаторы сети знают 
местоположение телефона с точностью лишь до области локализации, а не соты, поэтому 
для вызова требуется выполнять пейджинг во всех сотах, которые входят в область локали- 
зации. При переходе телефона в область с новым І.АС происходит повторная регистрация 
и аутентификация пользователя. 


Мобильный телефон может находиться в трех основных состояниях: выключен, проста- 
ивает и активен. Состояние активности означает, что телефон передает данные или же 
участвует в телефонном соединении либо ему выделены сетью логические каналы для 
передачи данных или телефонного разговора. В состоянии простоя телефон постоянно 
прослушивает несколько наиболее важных управляющих каналов сети, чтобы быть гото- 
вым принять звонок или же выполнить эстафетную передачу, если сигнал текущей соты 
стал слишком слабым. Даже в том случае, если звонки не поступают и соту менять не надо, 
телефон в состоянии простоя выполняет кое-какую работу — он периодически посылает 
коммутатору сети сообщение об обновлении местоположения, чтобы сеть знала, что теле- 
фон включен и находится в той же области локализации, что и прежде. 
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При включении телефона или при эстафетной передаче в новую область локализации 
выполняются процедуры регистрации и аутентификации, которые телефон выполняет 
с коммутатором соты, которую он выбрал для присоединения. Аутентификация основана 
на секретном ключе и слове-вызове. Секретный ключ (хранится в $ М-карте и в базе АЧС) 
никогда не передается по сети. При регистрации телефона в сети коммутатор МС запра- 
шивает аутентификационный триплет у сервера АиС. Триплет состоит из: 


О случайного слова КАМО в 128 бит; 


О слова-ответа ЗКЕ$ (32 бита), которое является результатом применения односторонней 
функции шифрования к слову КАМО; 


Ц сессионного ключа шифрования, который является параметром односторонней функ- 
ции шифрования. 


Получив триплет, коммутатор М$С шлет слово КАМ” телефону, который преобразует 
его в ответ 5 КЕ5* с помощью той же односторонней функции шифрования и секретного 
ключа, хранящегося в $ М-карте, и возвращает его коммутатору МС. Если слова 5КЕЅ* 
и 5КЕ$ совпадают, то аутентификация считается успешной и абонент может делать звонки, 
данные которых будут шифроваться с помощью другого ключа, называемого сессионным 
(подробнее о технике шифрования и аутентификации см. главы 26 и 27). 


Маршрутизация при вызове мобильного абонента 


После успешной аутентификации телефону выделяется временный номер, называемый 
роуминговым номером телефона, который вместе с идентификатором абонента [М1 
заносится в базу посетителей УІ.К данного коммутатора. При этом коммутатор сообщает 
домашней базе НІК о том, что пользователь с идентификатором ІМІ находится в зоне его 
обслуживания. Роуминговый номер принадлежит к пулу номеров, выделенных коммута- 
тору для обслуживания пользователей, коммутаторы мобильной сети сконфигурированы 
так, чтобы запросы на установление соединения с номерами из этого пула маршрутизиро- 
вались к данному коммутатору. 


В стационарных телефонных сетях общего пользования (ТФОП) вызов абонента марш- 
рутизируется через сеть сигнализации к коммутатору, к которому непосредственно под- 
ключен телефон вызываемого абонента. Сеть сигнализации ТФОП является сетью с ком- 
мутацией пакетов, и маршрутизация в ней выполняется на основе уникального номера, 
закрепленного за телефоном абонента. Этот номер однозначно определяет порт некоторого 
телефонного коммутатора, к которому постоянно подключен телефон вызываемого або- 
нента. В мобильной сети номер абонента хотя и является уникальным, не определяет соту, 
в которой он может находиться в момент вызова, поэтому маршрутизация вызова здесь 
происходит сложнее, с привлечением средств сети, управляющих мобильностью абонентов. 


Рассмотрим эту процедуру для случая, когда абонент ТФОП делает вызов абонента мо- 
бильной сети, набирая на своем телефоне номер мобильного абонента (рис. 23.4). Первые 
два этапа вызова проходят через коммутаторы ТФОП обычным образом, как если бы вы- 
зываемый абонент не был мобильным. Коммутатор 1, к которому подключен абонент, пере- 
дает пакет вызова с номером вызываемого мобильного абонента (на рисунке обозначен как 
«номер») по сети ТФОП к коммутатору 2, который соединен с пограничным коммутатором 
мобильной сети С-М5С (Саѓемау М$С), на основании таблиц маршрутизации коммута- 
торов ТФОП, в которых имеются записи и для номеров мобильных сетей. Коммутатор 
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С-МС указан в этих таблицах как следующий хоп для коммутатора 2 при передаче вызова 
для номера мобильного абонента, он может быть и не единственным, который связывает 
мобильную сеть с ТФОП, но другие пограничные С-М$С на рисунке не показаны. 


реет а =: | Мобильный 
НІК = идентификатор (5 — \-М$С а, абонент 
С = ^==------=7” р-номер ___ ШЕ 
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в \ і Ко — мєс еса 
У 05 (8) р-номер. телефонная сеть 
Са Е ты МИР” 


АСЫ —_ 
ус” 0. 


Телефонная 
сеть общего ) 
пользования „ 
(ТФОП) 7 


Абонент ТФОП 


Рис. 23.4. Маршрутизация вызова от абонента ТФОП к мобильному абоненту 


Этап З состоит в приеме коммутатором С-МЅС вызова с номером мобильного абонента. 
Непосредственно для дальнейшей передачи вызова он этот номер использовать не может, 
так как не знает, в зоне какого МЅС находится в данный момент абонент. Поэтому С-МЅС 
обращается со специальным запросом к домашней базе НІК, передавая в нем постоянный 
номер мобильного телефона (этап 4). Домашняя база НГК находит по номеру телефона 
идентификатор пользователя ПМГ и коммутатор У-МЪС, в зоне действия которого сейчас 
зарегистрирован мобильный телефон, а затем направляет коммутатору У-М$С запрос, 
указывая в нем идентификатор ІМІ (этап 5). Идентификатор ІМІ не изменяется при 
переходе мобильного абонента из зоны в зону, поэтому он и используется в процедуре 
локализации абонента. 


Получив запрос, коммутатор У-МЗС запрашивает свою локальную базу посетителей У.К 
па предмет нахождения в ней записи о посетителе с идентификатором МТ. Если такая 
запись там содержится, то значит, мобильный абонент еще не покинул зону коммутатора 
У-М5С. В базе УІК с идентификатором 1М$] связан временный роуминговый номер 
телефона (на рисунке обозначен как «р-номер») — именно этот номер коммутатор У-М$С 
возвращает базе НІК в качестве ответа на запрос (этап 6). 


База НІК передает значение р-номера коммутатору С-МЪФС (этап 7), после чего этот ком- 
мутатор может продолжить процедуру вызова мобильного абонента, используя р-номер 
вместо номера. Так как р-номер принадлежит множеству номеров, выделенных коммута- 
тору У-М$С, то вызов будет правильно передаваться через промежуточные коммутаторы 
МС сети (на рисунке показан один такой промежуточный коммутатор) в соответствии 
с их таблицами маршрутизации (этап 8). Получив запрос вызова, коммутатор У-М$С 


Глава 23. Мобильные телекоммуникационные сети 731 


рассылает пейджинговое сообщение всем базовым станциям, принадлежащим области 
ГАС, указанной в последнем сообщении об обновлении, посланном телефоном. Телефон 
вызываемого абонента принимает вызов от БС своей соты, посылая ей подтверждение 
приема, а та передает его коммутатору. 


Вторая часть процедуры установления соединения, когда сообщения о принятии вызова 
проходят в обратном направлении от мобильного абонента к абоненту ТФОП, на рисунке 
не показана. Она не содержит дополнительных этапов и является частью стандартной 
процедуры установления соединения телефонной сети. Название «роуминговый номер» 
может ввести в заблуждение, так как термин «роуминг» обычно используется только при 
перемещении абонента с телефоном между сетями различных операторов мобильной связи. 
Но это не так — перемещение между областями локализации сети одного и то же оператора 
и между областями локализации различных операторов, в том числе и работающих в раз- 
ных странах, отрабатывается по одной и той же схеме и называется роумингом в стандарте 
СМ. Разница заключается в том, что коммутаторы С-МЗС и У-МЗС могут принадлежать 
сети одного оператора, а домашняя база — сети того оператора, с которым у абонента за- 
ключен договор на обслуживание и которая хранит все учетные данные абонента. 


Эстафетная передача в сетях С$М 


Эстафетная передача отличается от описанной выше схемы роуминга телефона тем, что 
телефон при перемещении между сотами остается активным и, возможно, находится 
в состоянии соединения с другим телефоном. В таком случае при переходе из соты в соту 
повторная регистрация не производится и новый роуминговый номер телефону не на- 
значается — при эстафетных передачах номер у телефона остается прежним. Существуют 
три сценария эстафетной передачи: 


9 между сотами, находящимися под управлением одного и того же ВС; 


О между сотами, обслуживаемыми разными контроллерами В$С, но одним коммутато- 
ром МЗС; 


О между сотами, обслуживаемыми разными коммутаторами М$С. 


Рассмотрим первый сиенарий. Мобильный телефон постоянно измеряет уровень сигнала, 
поступающего от передатчика БС своей соты, а также соседних сот и периодически пере- 
дает данные этих измерений контроллеру. Приемник БС также периодически измеряет 
уровень сигнала от мобильного телефона и передает эти данные контроллеру. Когда кон- 
троллер решает, что нужно выполнить эстафетную передачу между сотами, он активирует 
в новой соте индивидуальные логические каналы для голосового трафика и управляющей 
информации, после чего посылает мобильному телефону сообщение через старую соту 
о начале эстафетной передачи и о параметрах выделенных логических каналов в новой 
соте. Телефон настраивается на новую частоту, посылая сообщение о готовности к пере- 
даче. Получив сообщение, контроллер начинает направлять данные соединения через 
приемопередатчик новой соты. На этом эстафетная передача заканчивается. 


Во втором сиенарии контроллер старой соты уведомляет коммутатор о том, что нужно вы- 
полнить передачу, так как он не может прямо уведомить об этом контроллер новой соты, 
потому что непосредственно они не взаимодействуют, только через коммутатор. При этом 
он передает в коммутатор идентификатор новой соты и номер ее области ГАС. Коммута- 
тор посылает сообщение контроллеру новой соты о том, что нужно активировать новый 
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частотный канал. Когда контроллер новой соты сообщает о готовности нового частотного 
канала, коммутатор посылает соответствующее сообщение в контроллер старой соты, а тот 
уведомляет телефон о начале эстафетной передачи. Далее телефон подключается к каналу 
новой соты и сообщает об этом контроллеру новой соты. Контроллер новой соты взаимо- 
действует с коммутатором, и тот переключает соединение на новую соту. 


В третьем сценарии контроллер старой соты уведомляет свой коммутатор о том, что 
нужно выполнить эстафетную передачу. Коммутатор старой соты по идентификатору 
соты и номеру АС обнаруживает, что новая сота находится под управлением другого 
коммутатора, и посылает сообщение о необходимости выполнения эстафетной передачи 
коммутатору новой зоны. 


Так как телефон находится в активном состоянии, например, в процессе обслуживания 
телефонного соединения, то коммутатор старой соты, не разрывая текущего соединения, 
устанавливает транзитное соединение с коммутатором новой соты. Коммутатор старой 
соты, в которой соединение началось, называется якорным коммутатором (Апсһог М$С. 
или А-МЅС), а коммутатор новой соты — релейным (Кёау М$С, или К-М$С). После 
того как телефон начинает использовать частотный канал в новой соте, оба коммутатора, 
вовлеченные в передачу, устанавливают соединение в сети таким образом, что оно теперь 
проходит через якорный А-М5С транзитом к релейному К-М5С-1 и затем к телефону. 
Этот вариант с якорным коммутатором близок к схеме с домашним агентом, используемой 
в мобильном ІР (см. далее). 


Передача компьютерных данных 
с помощью услуги СРА$ 


Услуга СРК появилась в сетях СЗМ не сразу, а на определенном этапе их развития, в се- 
редине 90-х, когда популярность Интернета возросла до такой степени, что пользователи 
мобильных телефонов захотели использовать их для мобильного веб-серфинга. Заметим, 
что пользователи услуги СРК платят за объем переданного трафика, а не за время со- 
единения, что, конечно, выгодно при веб-серфинге или передаче почтовых сообщений. 


Время установления соединения с серверами Интернета в СРК гораздо меньше, чем при 
использовании модема в голосовом канале СЗМ — до 5 секунд (что, конечно, все равно 
слишком много), то есть примерно вчетверо меньше времени, требующегося для установ- 
ления модемного соединения. Изначально СРК5 проектировался для поддержки разных 
протоколов, но вскоре стало ясно, что нужно поддерживать только один из них — прото- 
кол ІР. Протокол ІР используется для взаимодействия мобильных телефонов и серверов 
Интернета, а также между узлами сети СРКЪ. 


Пользователи услуги СРК5 разделяют радиосреду с пользователями телефонной услу- 
ги СМ. Чтобы повысить скорость передачи данных до более приемлемых при веб-браузинге 
значений (а не ограничиваться скоростью около 10 Кбит/с), соединениям СРК$ выделяется 
не один тайм-слот для образования индивидуального логического канала передачи данных, 
а несколько (до четырех для приема и до двух для передачи). Несимметричность количества 
тайм-слотов для передачи компьютерных данных выражает несимметричность трафика 
большинства интернет-приложений (что нашло отражение и в АБЗГ-технологии). 


Скорость передачи данных СРКЗ зависит от числа тайм-слотов, выделенных телефону, 
метода кодирования сигнала и соотношения битов пользовательских данных и кода ЕЕС 
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в поле данных пульсации. Применяются различные методы кодирования пользователь- 
ских данных в кадре СРК$, отличающиеся соотношением количества пользовательских 
битов и битов кода ЕЕС в кадре, а также размером кадра. Метод С$-1 использует соот- 
ношение 1:1 и самый маленький кадр в 22 байта, что дает скорость передачи пользова- 
тельских данных в одном тайм-слоте около 8 Кбит/с. Методы С$-2 (соотношение кодов 
~ 2:1) дает скорость около 12 Кбит/с, метод С$-3 (соотношение ~ 3:1) –- скорость около 
14 Кбит/с. Метод С$-4 рассчитан на низкий уровень помех, он передает данные без ко- 
дов ЕЕС в самом большом по размеру кадре в 52 байта, что дает максимальную скорость 
20 Кбит/с на слот. 


Как нетрудно подсчитать, максимальная скорость СРЕ$ составляет 80 Кбит/с при приеме 
(при передаче с использование 4 тайм-слотов и без кода ЕЕС) и 40 Кбит/с при передаче. 
В условиях высокого уровня помех в соте применение кода РЕС становится необходимым 
и скорость пропорционально снижается, уменьшаясь в 2 раза при применении равного 
количества битов пользовательских данных и кода ЕЕС. 


Развитием услуги СРЕ$ является услуга Епйапсей (улучшенная) СРК5 (ЕСРВ5), основное 
улучшение которой состоит в переходе на метод кодирования 8-РЅК (8 Рћаѕе Зы Кеуіпр), 
основанный на кодировании сдвигом фазы с 8 состояниями сигнала. Так как в этом методе 
за один такт передается З бита, скорость передачи данных услугой ЕСРК в З раза выше, 
чем посредством СРК$, — до 240 Кбит/с при приеме и до 120 Кбит/с при передаче. Для 
доступа к радиосреде телефон пользователя СРКЅ/ЕСРК5 использует тот же общий 
логический канал случайного доступа, что и в случае выполнения телефонного вызова. 
Логический канал для передачи данных выделяется в СРКЅ только по требованию, когда 
телефону нужно передать данные или сети нужно передать данные телефону. Процедура 
выделения логического канала выполняется с задержкой около 500—700 мс, что приводит 
к большому времени ожидания при загрузках веб-страниц, так как в паузах между загруз- 
ками телефон освобождает выделенный ему логический канал. 


Для оказания услуги СРК$ в сети СЅМ добавляются узлы нового типа, образующие от- 
дельную сеть передачи компьютерных данных. На рис. 23.5 показаны эти узлы, ажирными 
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Рис. 23.5. Дополнительные узлы сервиса СРА$ 
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линиями, кроме того, показан путь [Р-пакетов от внешнего сервера, стационарно подклю- 
ченного к Интернету, до передатчика БС ВТЪФ, передающего этот пакет в виде тайм-слотов 
и кадров радиосети доступа СЗМ. Рассмотрим функции дополнительных узлов. 


Шлюз $С$М (бегушя СРКЅ Ѕирроге Мо4е) отвечает за прием и передачу кадров от 
телефонов в радиосети доступа и преобразование их в ІР-пакеты. $СЗМ взаимодействует 
с коммутатором мобильной сети МЅС и серверами НІК и УІК для выполнения автори- 
зации и управления мобильностью пользователя. В задачи шлюза $СЗМ также входит 
биллинг пользователя: для этого он учитывает объем [Р-трафика, которым пользователь 
обменивался с серверами Интернета или другими пользователями сети. В сети может быть 
несколько шлюзов $СЗМ, как и коммутаторов МС, их количество зависит от масштаба 
мобильной сети. Шлюзы 5СЗМ соединены с серверами НІК и УІК ІР-сетью провайдера. 


Шлюз СС$М (Сме\мау СРКЅ Ѕиррогї М№о4е) непосредственно связан с Интернетом, 
а также со шлюзом 5СЗМ. Со стороны Интернета он выглядит как обычный маршрутиза- 
тор, принимающий ІР-трафик, направленный абонентам мобильной сети, и передающий 
в обратном направлении [Р-трафик, генерируемый абонентами мобильной сети. Для сети 
СРЕЗ этот шлюз решает несколько задач: 


О Назначает ІР-адрес для телефона, зарегистрировавшегося в сети; обычно провайдеры 
используют частные [Ру4-адреса для своих абонентов. В этом случае шлюз ССЅМ№ 
выполняет трансляцию между частными адресами телефонов и своим собственным 
публичным адресом интерфейса, который соединяет его с Интернетом, используя тех- 
нику МАТ. Назначаемые адреса ІРуб чаще всего являются публичными глобальными 
адресами, так как они имеются в избытке и нет нужды тратить ресурсы маршрутизатора 
на трансляцию адресов. 


О Поддерживает туннели типа «1Р-в-ІР» между собой и шлюзами 5СЗМ, по которому 
передаются ІР-пакеты, которыми обмениваются телефоны мобильной сети и серверы 
Интернета. 


Шлюз ССЗМ и шлюзы 5С5М соединены туннелем типа «1Р-в-[Р», проложенным в ІР-сети 
провайдера. Туннелирование применяется для упрощения задачи маршрутизации пользо- 
вательского трафика при эстафетной передаче телефона из одной соты в другую. Поясним, 
что если при эстафетной передаче меняется $СЗМ, который обслуживает соединение 
пользователя, то без туннелирования пользовательского трафика шлюзам ССМ и $$ СМ 
пришлось бы перестраивать свои таблицы маршрутизации. В случае существования тун- 
нелей между ССМ и всеми шлюзами 5СЗМ при всех перемещениях телефона пользова- 
теля между сотами таблицы маршрутизации остаются неизменными. Когда шлюз ССЅМ№ 
получает уведомление от некоторого шлюза $СЗМ о том, что телефон перешел в область 
его действия, шлюз ССЗМ начинает передавать пакеты этому пользователю по другому 
туннелю, который ведет к новому шлюзу 5СЗМ. 


Туннели между шлюзами ССЗМ и 5СЗМ образуются в соответствии с протоколом тун- 
нелирования СТР (СРК Типпе!іпе Ргоѓосо!), стандартизованным ЕТІ. В результате 
согласованной работы протоколов на узлах сети СРЕ$ [Р-пакеты пользователя прозрачно 
передаются между его мобильным телефоном и серверами Интернета, изменяется только 
ІР-адрес при передаче пакета шлюзом ССЅМ. В соответствии со схемой МАТ при передаче 
пакета от сервера Интернета к телефону публичный [Р-адрес назначения (принадлежащий 
шлюзу) заменяется на частный [Р-адрес назначения (принадлежащий телефону). При пере- 
даче в обратном направлении происходит обратная замена, но в поле [Р-адреса отправителя. 
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Особенности мобильных сетей наиболее ярко выражены в особенностях протоколов 
радиосетей из-за специфических методов обеспечения надежной связи в условиях много- 
численных помех и нестабильного сигнала перемещающихся (иногда с высокой скоростью) 
приемников и передатчиков радиосигналов. Спецификой радиосети СРК является ис- 
пользование кадров данных очень небольшого размера, так как это позволяет быстрее вос- 
станавливать искаженные и потерянные кадры. При передаче данных в [Р-пакетах через 
радиосеть СРК$ поля заголовка пакета компрессируют, чтобы уменьшить размер пакета, 
при этом размер заголовка сокращается до 2—4 байтов. 


Мобильные сети третьего поколения УМТ$ 


Сравнительно низкая скорость передачи компьютерных данных в сетях СЗМ СРК при- 
носила большие неудобства как мобильным пользователям, так и провайдерам сервисов 
Интернета. Из-за низкой скорости доступа, предоставляемого услугой СРК$, была раз- 
работана специальная версия стека протоколов ЖАР (\Мгеезз Ассеѕѕ Ргоѓосо!), заменяв- 
шая протоколы ТСР/НТТР для доступа к веб-серверам, которые к тому же должны были 
иметь веб-страницы, размеченные примитивами языка \/МГ. (ЖАР МагКир Гаприаре), а не 
НТМІ, традиционно применяемым для разметки веб-страниц (о стандартах веб-сервисов 
см. главу 24). Поэтому в конце 90-х были разработаны, а в 2000 году приняты стандарты мо- 
бильных сетей третьего поколения (ЗС), обеспечивающие более высокие скорости доступа 
к Интернету — от сотен килобит в секунду до нескольких мегабит в секунду. Для примера 
рассмотрим версию \-СОМА (\4еБапа СОМА) семейства стандартов ОМТ (Опіуегѕа] 
Мое Тгапѕрогї Ѕуѕќет), разработанного консорциумом ЗСРР (3: Сепегайоп Рагіпегѕһір 
Ргојесі) и получившего наибольшее распространение в различных странах, включая Россию. 


Консорциум ЗСРР был создан для разработки стандартов мобильных сетей в конце 90-х. 
В него вошли крупнейшие производители коммуникационного оборудования, операторы 
мобильных сетей и организации, занимающиеся стандартизацией, в частности институт 
ЕТЅІ. Консорциум ЗСРР называет свои стандарты «релизами» (Ке|еазе) с соответствую- 
щими номерами — так, первый стандарт сетей ЗС имел название ЗСРР Ке|еазе 99 (номер 
соответствует году принятия стандарта). Более поздние версии стандартов ЗСРР исполь- 
зуют в названиях порядковые номера. Последующие версии технологии сетей ЗС описаны 
в стандартах ЗСРР Каеазе 4 — ЗСРР Кееаѕе 7. 


Основные отличия сетей третьего поколения от сетей второго поколения состоят в основ- 
ном в усовершенствованиях радиосреды, которая стала использовать мультиплексирование 
СОМА вместо ЕОМА. Применение СОМА наряду с более широким диапазоном частот, 
выделяемых провайдеру (отсюда в названии технологии появилась приставка «А» — 
\1АеБап4, широкополосная) привели к повышению скорости передачи компьютерных 
данных. Новая технология НЅРА (Ніеһ-Ѕрееа РасКе{ Ассеѕѕ) заменила технологию СРК. 
В своих последних версиях услуга НЅРА обеспечивает скорость передачи данных до де- 
сятков мегабит в секунду. Все соты сети ОМТ используют одну и ту же полосу частот, 
так как мультиплексирование СОМА не требует выделения каждому пользователю соты 
своего частотного канала. 


В процессе совершенствования технологии ОМТ была предложена концепция полного 
перехода мобильной сети на протокол ІР В рамках этой концепции были разработаны стан- 
дарты мультимедийной системы для передачи голоса и видео ІМ (ІР Мшите а Ѕуѕќет), 
согласно которым голосовой телефонный трафик передается в ІР-пакетах, то есть на основе 
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техники Усе оуег ІР (УоТР). Однако из-за сложностей организации взаимодействия [МУ 
с системой передачи голоса в сетях С5М, с которыми сетям ОМТЪЗ пришлось совместно 
работать на протяжении довольно долгого времени, система 1М$ не нашла широкого 
распространения до появления мобильных сетей четвертого поколения. Соответственно 
мы рассмотрим принципы построения системы [МЪ в разделе, посвященном этим сетям. 


Четвертое поколение мобильных сетей — 
сети [ЛЕ 


Особенности сетей (ТЕ 


Технология ІТЕ (Іопе Тегт Ехоіџбіоп), как видно из названия, была задумана как тех- 
нология, имеющая прочную основу и способная развиваться эволюционно, постепенно 
улучшая свою функциональность. Действительно, многое из того, что составляет основу 
технологии ІТЕ, перешло в технологию сетей пятого поколения. 


Главным отличием сетей ІТЕ стал полный переход на стек протоколов ТСР/ТР, говорят, что 
сеть [ТЕ стала полностью ІР-сетью (АП-1Р пе\могК). 


Протокол ІР используется в сетях ІТЕ как для передачи компьютерных данных, так и для 
передачи голоса и видео. Голос передается в ІР-пакетах с помощью техники интернет-теле- 
фонии, разработанной ранее для стационарных ІР-сетей. Мобильные сети ІТЕ связываются 
друг с другом и со стационарными телефонными сетями через Интернет, и только в тех слу- 
чаях, когда оператор какой-либо стационарной телефонной сети не поддерживает передачу 
голоса через Интернет, связь с такой сетью устанавливается через шлюз, транслирующий 
голос из формата [Р-пакетов в формат цифровых каналов ТОМ. Вместо сигнальных про- 
токолов телефонной системы 557 используются сигнальные протоколы ІР-телефонии. 


Радиосеть доступа ГТЕ претерпела очередное кардинальное изменение — вместо муль- 
типлексирования СОМА в ней используется мультиплексирование ОЕРМ. 


Техника ОЕРЮМ признана как наиболее перспективная в качестве долговременной основы 
радиосети доступа ІТЕ. Ранее мультиплексирование ОЕРЮМ хорошо себя зарекомендовало 
в сетях \УЛ-Е1, но его применение в мобильных устройствах сдерживалось отсутствием 
необходимой элементной базы, имеющей низкое энергопотребление и компактное испол- 
нение. Техника СОМА не позволяет увеличить скорость передачи чипов из-за межсим- 
вольной интерференции при многолучевом распространении сигнала. Повышение чиповой 
скорости ведет к уменьшению межсимвольного интервала, из-за чего сигналы становятся 
неразличимыми. Техника ОЕОМ, подробно рассмотренная в главе 21, преодолевает этот 
недостаток, распараллеливая данные на несколько потоков и передавая каждый поток в ча- 
стотном подканале с меньшей скоростью. Меньшая скорость модуляции сигнала означает 
его большую длительность и, как следствие, меньшую степень межсимвольной интерфе- 
ренции. В сети ТЕ скорость передачи данных адаптируется к условиям радиосреды и тре- 
бованиям приложения пользователя за счет изменения числа выделенных пользователю 
частотных подканалов. При общей полосе 20 МГц соты скорость передачи данных может 
достигать 100 Мбит/с для одного пользователя. Отметим, что мобильный телефон ІТЕ 
обязан поддерживать передачу ММО, в то время как для мобильного телефона ОМТ это 
было опционально. Технология сетей 4С описана в стандартах ЗСРР Ке{еазе 8 — Кееазе 14. 
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Архитектура сети (ТЕ 


Полный переход на протоколы ТСР/Р упростил структуру сети ІТЕ (рис. 23.6), так как 
в ней нет необходимости поддерживать две различные сети — одну для голоса, а другую 
для компьютерных данных, как это было в сетях СЗМ и ОМТ. 


СТР-туннель 3 


<= і. 
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емодеВ-1 №. / 7777 л мобильностью 
` 
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СТР-туннель 1 


Данные 
СТР-туннель 2 __..:.... Сигнальная информация 


Рис. 23.6. Структура сети (ТЕ 


В сети ТЕ функции пользовательского слоя (передача пользовательских данных) и функ- 
ции слоя управления (обмен сигнальной информацией) разделены. В сети есть узлы, 
которые выполняют только функции обмена сигнальной информацией, и узлы, выполня- 
ющие функции обоих слоев. На рисунке интерфейсы сигнальных протоколов показаны 
пунктиром, а протоколов передачи данных — сплошной линией. 


БС еМодЕВВ в сети ІТЕ стала намного более интеллектуальной по сравнению со своими 
предшественницами в сетях 2-го и 3-го поколения. Она стала автономной, самостоятель- 
но выполняя многие функции, которые раньше выполнялись контроллером БС. Между 
базовыми станциями появился интерфейс Х2, позволяющий им непосредственно взаи- 
модействовать без участия других узлов сети и решать быстрее многие задачи, например 
эстафетную передачу между сотами, БС которых связаны интерфейсом Х2. Интерфейс 
Х2 является логическим интерфейсом, на практике он чаще всего работает через те же 
физические проводные каналы транзитной сети, которые связывают БС с узлами маги- 
стральной сети. Какие именно БС должны быть связаны логическим интерфейсом Х2, 
решает оператор сети. 


Интерфейс Х2 поддерживает как сигнальную информацию, так и передачу данных. Через 
него могут передаваться пользовательские ІР-пакеты, когда телефон переходит от одной 
БС к другой. Кроме эстафетной передачи, БС еМодеВ также выполняет следующие функ- 
ЦИИ: 


ЧО выделение радиоканалов пользователям; 
Ц поддержка Оо5; 


О баланс загрузки частотных подканалов; 
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О устанавливает СТР-туннель между собой и шлюзом 5-С№ под управлением узла 
управления мобильностью ММЕ. 


Передача функций контроллера БС уменьшает задержку при установлении в сети со- 
единений, делая операции динамического изменения пропускной способности каналов 
более быстрыми. Это изменение функций БС следует общей тенденции пограничных вы- 
числений. 


Шлюз $-СУ является промежуточным якорным узлом при передаче данных пользователя 
в [Р-пакетах между БС и шлюзом-маршрутизатором РОМ-СУУ. На рис. 23.7 показаны не- 
сколько СТР-туннелей, использующиеся в сети [ТЕ для той же цели, что и в сетях С5М/ 
СРК5 и ОМТЗ/НБРА, — то есть для сохранения ІР-адреса телефона при эстафетных 
передачах. В сети ІТЕ, в отличие от сетей предыдущих поколений, используются СТР- 
туннели двух типов: 


О между пограничным маршрутизатором РОМ-С№ и шлюзом $-С\ (этот тип туннеля 
используется и в сетях С5М/СРКЅ и ОМТЅ/НЅРА); 


О между шлюзом $-С\ и БС еМ№одеВ. 


Ір-пакеты пользователя на пути от маршрутизатора РОМ-СМ/ к телефону последовательно 
проходят сначала через туннель первого типа, затем — туннель второго типа. Добавление 
туннелей второго типа позволяет более гибко управлять мобильностью. Например, если 
пользователь перемещается между базовыми станциями еМодеВ-1 и еМойеВ-2, контроли- 
руемыми одним и тем же шлюзом $-С У), то для выполнения такой эстафетной передачи 
шлюзу нужно только связать трафик пользователя с туннелем СТР 2 вместо туннеля 
СТР 3. Туннель СТР 1 по-прежнему остается рабочим, его заменять не нужно, а значит, 
количество операций по изменению конфигурации сети [ТЕ сокращается по сравнению 
с обработкой той же ситуации в сетях предыдущих поколений. Шлюз 5-СМ/ отвечает 
также за учет трафика пользователя и установку класса трафика для его соответствующей 
обработки механизмами Оо$ БС. 


Узел ММЕ выполняет часть функций, которые в сетях 2С и ЗС выполняет шлюз ЭС ЗМ: 
О аутентификацию пользователя (совместно с сервером Н$$); 
Ш управление установлением туннелей СТР; 


Ы взаимодействие с контроллерами сетей СЅМ или ОМТ, когда телефон переходит из 
сети ІТЕ в эти сети; 


О помогает базовым станциям выполнить эстафетную передачу в том случае, когда между 
ними нет прямого интерфейса Х2. 


Узел ММЕ поддерживает только протоколы слоя управления, но не пользовательского 
слоя — в этом его отличие от шлюза 565М сетей 2С/ЗС, который делает и то и другое. 


Шлюз РОМ-СУ\У/ — это пограничный (с Интернетом) маршрутизатор, выполняющий не- 
сколько функций: 


ЧО Выделяет ІР-адреса телефону пользователя. Когда телефон регистрируется в сети, БС 
аутентифицирует пользователя, обращаясь к узлу ММЕ. После этого узел ММЕ запра- 
шивает у РОМ-СҰ [Р-адреса для телефона этого пользователя: ІРу4-адрес и, возможно, 
ГРуб-адрес (последнее — при условии, что провайдер поддерживает [Руб в своей сети). 
Получив ІР-адрес от РОМ-СУ\У, ММЕ передает его телефону. РОМ-СУ может выдать 
телефону несколько ІР-адресов, например, один из них может быть использован для 
внутренних сервисов сети провайдера, а другой — для обращения к Интернету. 
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О Устанавливает СТР-туннель между собой и шлюзом $-СМ/ под управлением узла 
ММЕ. 


При международном роуминге СТР-туннель устанавливается между 5-С\/ гостевой 
сети и маршрутизатором РОМ-СУ\У/ домашней сети. Недостатком такого подхода являет- 
ся сложная маршуртизация: ІР-пакеты пользователя сначала передаются через туннель 
в домашнюю сеть, и только потом — в Интернет. Стандарт ТЕ предусматривает и другой 
вариант — когда СТР-туннель устанавливается между шлюзами 5-С№ и РОМ-СМ го- 
стевой сети и попадают в Интернет более коротким путем. Шлюз РОМ-С№ и узел ММЕ 
умеют взаимодействовать с шлюзами 5СЗМ сетей С5М и ОМТЬЪ. Туннель для передачи 
данных пользователя устанавливается в этом случае между РОМ-СУ\УМ и $СЗМ, а не $-СУУ. 


Нужно отметить, что упрощение архитектуры сети ІТЕ внесло значительный вклад в сни- 
жение задержки передачи данных между телефоном и сетью до 20-25 мс. 


Радиоинтерфейс (ТЕ 


В сетях 4С ІТЕ оператору сети может быть выделен диапазон частот различной шири- 
ны — от 1,25 МГц до 20 МГц (в различных диапазонах частот, от 400 МГц до 3700 МГц), но 
наиболее часто выделяется диапазон 10 МГц. Ширина подканала ОЕОМ в сети 4С всегда 
равна 15 кГц, поэтому в зависимости от ширины диапазона для передачи пользовательских 
данных оператора может использовать от 76 (диапазон шириной 1,25 МГц) до 1200 под- 
каналов (диапазон шириной 20 МГц), которые выделяются пользователям динамически, 
в зависимости от ситуации в соте. 


Все соты сети ІТЕ используют один и тот же диапазон частот, но эстафетная передача здесь 
выполняется по жесткой схеме, то есть телефон в каждый момент времени соединен только 
с одной сотой. Так как в радиосети ІТЕ применяется мультиплексирование ОЕОМ, частота 
модуляции сигнала в подканале должна быть равна ширине частотной полосы подканала, 
то есть 15 кГц. Скорость передачи данных в одном подканале определяется количеством 
состояний сигнала примененного метода модуляции, например, для кода ОРЗК с двумя 
состояниями скорость будет равна 15 х 2 = 30 Кбит/с. 


Каждый частотный подканал радиосети ІТЕ разделяется в технике ТОМ на тайм-слоты, 
в одном тайм-слоте переносится 7 символов кода данных. Тайм-слот имеет длительность 
0,5 мс — такая длительность обеспечивает быстрое восстановление искаженных помехами 
данных. Восстановление происходит на уровне так называемых подкадров, в которые входит 
два тайм-слота, образующих подкадр длительностью 1 мс. Передатчик не передает следующий 
подкадр, пока не получит от приемника подтверждения о том, что предыдущий подкадр при- 
нят корректно. Подкадры объединяются в кадры. Если искаженный подкадр не удается вос- 
становить быстро, то радиосеть применяет более медленный механизм восстановления кадра. 


Единицей выделения пропускной способности радиосреды Г.ТЕ пользователям является 
ресурсный блок (рис. 23.7), состоящий из 12 подканалов и одного тайм-слота (7 символов). 
12 подканалов образуют канал шириной 180 кГц. 


Каждому пользователю может быть выделено определенное количество ресурсных блоков, 
параметры которых (номера подканалов и тайм-слотов) БС еМо4деВ сообщает телефону по 
отдельному каналу управления. Распределение ресурсов происходит динамически и по- 
стоянно: каждую миллисекунду БС принимает решение о перераспределении ресурсов 
радиосреды между пользователями соты. 
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Кадр (10 мс) = 10 покадров = 20 тайм-слотов 


Частота 
(МГц) 


Подкадр (1 мс) 
Тайм-слот (0,5 мс) 


12 подканалов 
по 15 кГц = 180 кГц 


Время (мс) 


Ресурсный блок: 
— длительность 1 тайм-слот (0,5 мс) 
— 7 символов х 12 подканалов 


Рис. 23.7. Ресурсный блок радиосети (ТЕ 


Телефон ІТЕ может относиться к одной из пяти категорий, в зависимости от своих функ- 
циональных возможностей по взаимодействию с БС еМ№ойе-В. При приеме телефон должен 
поддерживать код 64-ОАМ, а при передаче — 16-ОАМ (телефоны высшей, 5-й категории, 
поддерживают код 64-ОАМ и при передаче). 


Телефоны ІТЕ вместо техники ОЕОМ используют при передаче технику частотного раз- 
деления на одном канале (Зш#е-Сагчег Егедиепсу Гіуіѕіоп Мшар! Ассеѕѕ, $С-ЕОМА). 
Эта техника использует частотную полосу нескольких подканалов как один более широкий 
подканал, отличаясь от ОЕРЮМ тем, что сокращает потребление энергии по сравнению 
с ОЕРЮМ, что, безусловно, важно для передатчика телефона. 


В радиосети ІТЕ применяется техника М/МО. Чаще всего применяется схема 2 х 2, когда 
передатчик и приемник используют по 2 антенны. Скорость передачи данных в радиосети 
ІТЕ при применении техники ММО увеличивается при приеме до 150 Мбит/с при ис- 
пользовании схемы 2х 2. 


Передача голоса в сети (ТЕ (\Уосе охег ТЕ) 


Установление телефонных соединений для передачи голоса являлось основной функцией 
сетей 2С и ЗС, тогда как передача ІР-трафика представляла собой дополнительную услугу. 
Для сетей ІТЕ ситуация обратная — основной функцией является именно передача ІР- 
трафика, а передача голоса (и видео) становится услугой, которая строится на основе 
передачи [Р-трафика. 
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В сетях ІТЕ применяются протоколы 1Р-телефонии, разработанные для передачи теле- 
фонных разговоров через стационарный Интернет и корпоративные ІР-сети предприятий 
в конце 90-х. Существует еще один популярный термин, используемый при описании тех- 
ники передачи голоса в ІР-пакетах, — «голос через ІР» (Уогсе оуег ІР, УоТР). Его область 
применения уже — Уо[Р описывает только способы кодирования голоса и инкапсуляции 
его в [Р-пакеты, в то время как [Р-телефония включает в себя технику ІР и служебные 
протоколы установления соединений через ІР-сеть. Основным служебным протоколом 
систем ІР-телефонии является протокол установления соединений 51Р, заменяющий сиг- 
нальные протоколы $57 (1$0Р и др.) цифровых наземных телефонных сетей. 


Протокол ЭР 


Протокол $1Р (5еѕѕіоп Іпійабіоп Ргоѓосо! — протокол инициирования сеанса) разработан 
интернет-сообществом и стандартизирован ІЕТЕ в КЕС 3261. 51Р является сигнальным 
протоколом и ответственен за установление сеанса между абонентами. Для передачи аудио- 
и видеоданных в ходе сеанса протокол $ІР предполагает использование протокола КТР. 


Протокол $[Р очень близок по стилю к протоколу НТТР, столь популярному в Интернете 
для передачи данных между веб-браузером и веб-сервером (см. главу 24): имеет похожий 
набор и синтаксис сообщений, которыми обмениваются стороны в процессе установления 
сеанса. Как и у протокола НТТР, 51Р-сообіцения текстовые и вполне понятны программи- 
стам, имеющим опыт создания веб-приложений. Поэтому системы [Р-телефонии, постро- 
енные на основе 51Р оказались гораздо ближе к миру Интернета и ІР, чем конкурирующие 
стандарты Н.323, разработанные ГТО-Т для передачи телефонных разговоров через ІР- 
сети. Стандарты ІТЕ для передачи голоса базируются на $1ІР. 


Архитектура 51Р предусматривает как непосредственное взаимодействие абонентов через 
[Р-сеть, так и более масштабируемые схемы, включающие участие серверов-посредников. 
Основным таким сервером является так называемый прокси-сервер 81Р, выполняющий 
функции, близкие к функциям шлюза 5-С№ сети ІТЕ или шлюза $СЗМ сетей СЗМ или 
ОМТ. Кроме того, в архитектуре 51Р может присутствовать сервер регистрации З1Р (51Р 
Керіѕігаг Ѕегуег), выполняющий функции, близкие к функциям узлов ММЕ и Н$$ сети 
І ТЕ, занимающихся регистрацией пользователей и определением их текущего положения. 
Работу протокола 51Р в архитектуре с серверами обоих типов иллюстрирует рис. 23.8. 


Протокол $1Р был разработан в расчете на стационарных, а не мобильных абонентов, по- 
этому на рисунке в качестве абонентских устройств, между которыми нужно установить 
голосовое или видеосоединение, изображены компьютеры, а не мобильные телефоны. 
Чтобы компьютер пользователя стал работать как ІР-телефон, на нем должно быть уста- 
новлено специальное программное обеспечение, называемое 51Р-агентом пользователя. 
Адресами абонентов в протоколе 51Р являются универсальные идентификаторы (О КГ), 
используемые во всех веб-службах, например Ь1@©ја.пе или БоБ@три.ги. Когда пользо- 
ватель активирует программу 5[Р-агента на своем компьютере, тот посылает запрос на 
аутентификацию и регистрацию на сервер регистрации, имя которого хранится в файле 
конфигурации $[Р-агента. Запрос на регистрацию передается серверу регистрации не 
непосредственно, а через прокси-сервер домена, которому принадлежит компьютер поль- 
зователя. Аутентификация может выполняться различными способами, например, с по- 
мощью секретного ключа и слова вызова или же на основе техники публичных ключей. 
Если аутентификация прошла успешно, то сервер регистрации узнает о местоположении 
пользователя, то есть в домене какого прокси-сервера он зарегистрировался. 
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Кедіѕігаг Ѕегуег — 
определение 
местоположения 


Прокси-сервер 51Р: 
ѕір@ја.пеі 


Прокси-сервер 51Р: 
5ір1@ја.пе! 


ІММІТЕ БоБ@рНег.ги 


ОК 
АСК 2, 
С 
\&, 
\О \Ә, 
ХР \ 9, 
м \ \ у, 
«а 90 
% \ 
Голос в КТР 
ыЫП@)а.пе БоБ(@%512.ги 


Рис. 23.8. Взаимодействие абонентов 51Р 


На рис. 23.8 абонент Ы©ја.пеї хочет установить сеанс с абонентом Боб@тоди.ги. В домене 
ја.пеї установлен прокси-сервер 5[Р с именем ѕір1@ја.пеї, через который проходят все вы- 
зовы абонентов этого домена. Запросом на установление сеанса в протоколе 51Р является 
передача сообщения ІМИТЕ с ОКТ вызываемого абонента, поэтому абонент Ыі@ја.пеї на- 
правляет своему прокси-серверу сообщение /МУ/ТЕ рор @тви.ти. Прокси-сервер для вы- 
полнения этого запроса обращается к серверу регистрации, который возвращает ему ответ 
о том, что абонент Боб@тоади.ги в данный момент зарегистрирован как активный в домене 
рќег.ги с именем Боб@рёйег.ги. Прокси-сервер использует эту информацию для того, чтобы 
направить сообщение [МУТЕ прокси-серверу домена рќегги (сервер с именем ѕір2@ріїег.ги), 
указав в нем имя Боб@рИег.ги. Вызов завершается прокси-сервером зр2@рнегги, который 
обнаруживает, что пользователь Боб@рНегги зарегистрировался и работает в настоящее 
время за компьютером мѕ12, поэтому вызов /МУ/ГТЕ передается на этот компьютер. Далее 
протокол $[Р работает подобно большинству протоколов сигнализации: если пользователь 
роб@уу512.ги соглашается принять вызов, то он снимает трубку своего 51Р-телефона (или 
щелкает на соответствующем значке своего программного 51Р-телефона) и тем самым 
посылает ответ ОК назад по цепочке. Окончательное установление сеанса фиксируется 
отправкой сообщения АСК (подтверждение) от вызывающего абонента к вызываемому. 


После установления сеанса разговор происходит между телефонами абонентов, при этом 
оцифрованные голосовые данные передаются протоколом КТР. Протокол КТР (Кеа! Тіте 
Ргобосо] — протокол реального времени), определенный в ВЕС 3550, переносит отметки 
времени и последовательные номера пакетов, помогая конечным узлам сеанса восстанав- 
ливать аналоговую информацию реального времени. КТР-пакеты переносятся в пакетах 
протокола ООР Кодирование голоса в стационарных ІР-сетях может выполняться по стан- 
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дартам различных кодеков, например С.711, С.722, а кодирование видео — по стандартам 
кодеков Н.261, Н.263 и др. Так как пропускная способность стационарных ІР-сетей доступа 
намного выше, чем пропускная способность мобильных радиосетей доступа, скорости голо- 
сового и видеотрафика в перечисленных стандартах выше, чем скорости, приемлемые для 
мобильных радиосетей доступа. Так, кодеки С.711 и С.722 генерируют голосовой трафик 
64 Кбит/с, в то время как, например, кодек С.722.2, используемый в мобильных сетях, — 
только 12,2 Кбит/с. Из-за этой разницы при передаче трафика Уо]Р из стационарной [Р- 
сети в мобильную нужен шлюз, перекодирующий голос. 


Мультимедийная система 1М$ 


Как видно из описания, система ІР-телефонии на основе протокола 51Р не учитывает таких 
особенностей, как мобильность пользователя, и не поддерживает механизмы, используемые 
в мобильных сетях для поддержания мобильности, поддерживаемые в сети ІТЕ узлом 
управления мобильностью ММЕ совместно с домашней базой Н$$. Поэтому разработчики 
технологии ІТЕ взяли протокол ЅІР за основу, но дополнили сеть [ТЕ новыми элемен- 
тами, позволяющими телефону взаимодействовать с уже существующими узлами сети 
ІТЕ, поддерживающими мобильность. Эти новые элементы образуют мультимедийную 
ІР-систему (ІР Мшите Ча Ѕуѕќет, М5) (на рис. 23.6 она не показана), центральным эле- 
ментом которой является узел управления сессией звонка 5-СЗСЕ (Ѕегуіпр Са Ѕеѕѕіоп 
Сопіго! Еипсбіоп). Этот узел выполняет роль прокси-сервера 51Р и сервера регистрации 
протокола $ІР для клиентов-телефонов. Если $1Р-абонент регистрируется в сервере ре- 
гистрации, являющемся частью узла 5-СЅСЕ то этот узел обращается к домашней базе 
данных Н$5, где хранятся полные данные об абоненте, включая его идентификатор, номер 
телефона, секретный ключ, список сервисов, на которые он подписан, и др. Узел 5-СЅСЕ 
взаимодействует с домашней базой данных Н$5 по протоколу Юіатеѓег, разработанному 
так же, как и З[Р, в рамках ТЕТЕ (КЕС 6733). Протокол П1латеег предназначен для вы- 
полнения процедур аутентификации и авторизации в [Р-сетях. 


Система 1М$ обычно включает несколько серверов приложений, с помощью которых 
организуются дополнительные телефонные услуги: автоответчик, голосовая почта, пере- 
адресация вызовов и т. п. Телефон абонента сети ГТЕ передает данные в Интернет через 
шлюз 5-С\ и маршрутизатор РОМ-С\, а установление телефонных соединений проис- 
ходит через систему ІМ5. Их голосовой трафик идет непосредственно через Интернет, 
минуя систему ІМ5, которая нужна только для аутентификации, авторизации и локали- 
зации пользователей совместно с серверами ММЕ и НЪ5, а также для предоставления им 
дополнительных услуг телефонии. 


Мобильный ІР 


Проблема сохранения адреса 


Протокол мобильного ІР (Мое ІР, МІР, КЕС 5944) изначально был разработан ТЕТЕ 
для использования в проводных сетях [Ру4, между которыми пользователи перемещаются 
со своими ноутбуками. Позже была разработана версия Мое ГРуб (КЕС 6275), которая 
также ориентировалась на проводные сети, но теперь уже сети [Руб. И наконец, новая 
версия прокси мобильного ГРуб (Ргоху МоШеГРуб, КЕС 5213) была предназначена для 
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использования в беспроводных сетях: сетях \і-Еі (при перемещении между точками до- 
ступа, принадлежащими различным ІР-подсетям) и мобильных сотовых сетях. Протокол 
Ргоху Мо е!Руб стал применяться в мобильных сотовых сетях вместо их собственных 
средств обеспечения мобильности на основе протокола СТР. Проблема мобильности для 
всех упомянутых протоколов формулировалась одинаково — как быть с [Р-адресом пере- 
мещающихся устройств, должен ли он всегда оставаться одним и тем же или же он должен 
изменяться при каждом подключении к новой проводной сети или новой соте? 


Вариант сохранения ІР-адреса теоретически можно реализовать за счет создания новой 
специфической записи в маршрутизаторах Интернета, которая будет указывать на новый 
маршрут к определенному узлу (телефону, ноутбуку, планшету или серверу), переместив- 
шемуся в новую сеть со старым адресом. Однако на практике этот вариант не применя- 
ется, так как нарушает принцип агрегирования адресов, в результате последовательного 
применения которого все ІР-адреса некоторой организации имеют один или небольшое 
число префиксов. Заметим, что добавление в таблицы маршрутизаторов Интернета новой 
индивидуальной записи для каждого переместившегося из сети в сеть узла — это плохо 
масштабируемое решение. 


Второй вариант, который чаще всего и применяется на практике, состоит в выделении по- 
сетителю (то есть пользователю, который временно посещает чужую сеть) нового [Р-адреса 
из пространства адресов организации, например, с помощью протокола ОНСР В этом слу- 
чае таблицы маршрутизаторов Интернета не изменяются. Правда, ІР-адрес телефона или 
ноутбука у посетителя стал другим, но до тех пор, пока он использует свой телефон только 
в качестве клиента некоторого сервиса Интернета, например веб-сервиса, изменение адреса 
не доставляет посетителю никаких неудобств. Однако существуют ситуации, в которых же- 
лательно все-таки сохранить ГР-адрес узла при его перемещении в новую сеть. Например, 
организация может на время передать свой сервер другой организации и желает при этом 
сохранить его О№$-имя, связанное с постоянным адресом сервера. Приведем другой пример 
из области мобильной связи. Телефон пользователя постоянно перемещается из одной соты 
в другую, при этом соты могут быть подключены к разным 1Р-подсетям мобильного провай- 
дера. Несмотря на то что [Р-адрес телефона является динамическим, то есть назначается ему 
мобильной сетью по протоколу ОНСР частая его смена (при каждом переходе пользователя 
из одной подсети в другую) оказывается не слишком удобной — это требует перестройки 
таблиц маршрутизации всех внутренних маршрутизаторов, обслуживающих маршруты 
в старой и новой подсети. Поскольку такие переходы могут быть частыми, например, когда 
пользователь едет в автомобиле, предпочтительным является вариант с сохранением ІР- 
адреса, выданного телефону при его регистрации в определенной зоне покрытия. 


Мобильный 1Ру4 


Работа мобильного ІР для сетей ІРУ4 основана на создании /Р-туннеля между домашней сетью 
мобильного пользователя (то есть той, к которой относится 1Р-адрес его мобильного устройства) 
и гостевой сетью, которую он посещает и в которой хочет работать с сохранением домашнего 
ІР-адреса. 


В туннеле выполняется инкапсуляция «ІР-в-ІР», при этом адресом назначения, по которо- 
му выполняется маршрутизация в туннеле, является /Р-адрес маршрутизатора гостевой 
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сети, а не ІР-адрес мобильного узла. При поступлении пакетов, адресованных мобильному 
устройству, гостевой маршрутизатор извлекает из них исходный пакет и передает его мо- 
бильному устройству. 


Детали взаимодействия всех элементов стандарта Мое ІР поясняет рис. 23.9. На нем 
показаны домашняя сеть 194.82.44.0/24, в которой у мобильного устройства имеется 
[Р-адрес 194.82.44.76, и гостевая сеть 212.63.35.0/24. Чтобы схема заработала, на марш- 
рутизаторах этих сетей должны быть активированы программные агенты, выполняющие 
дополнительные функции по обеспечению мобильности. Агент домашней сети называется 
домашним агентом (Ноте Авепу), а агент во внешней сети называется гостевым агентом 
(Еогеірп Ареп(). Чтобы домашний агент знал, что ему предстоит отслеживать перемещения 
некоторого мобильного устройства и перенаправлять пакеты, посланные по его [Р-адресу 
в домашней сети, мобильное устройство должно зарегистрироваться у домашнего агента. 
Домашний агент периодически рассылает [СМР сообщение «Объявление маршрутизатора 
(Кощег АЯуегііѕетепї) (см. раздел «Протокол ІСМР» главы 14), и мобильное устройство, 
получив это сообщение, отвечает домашнему агенту запросом на регистрацию, после чего 
оно считается зарегистрированным в домашней сети. 


При перемещении в гостевую сеть мобильное устройство должно пройти процедуру ре- 
гистрации и в ней. Эта процедура похожа на процедуру регистрации у домашнего агента 
и также использует [СМР сообщения «Объявление маршрутизатора», которые в данном 
случае периодически распространяет гостевой агент. Последний указывает в ІСМР- 
сообщении [Р-адрес из диапазона адресов гостевой сети — адрес СОА (Саге ОЁ Ад4гез$), 
который можно сравнить с примечанием на конверте письма «для такого-то», указыва- 
ющим, что на самом деле письмо должно быть передано не адресату, указанному в поле 
адреса, а тому, чье имя указано в примечании. В данном случае СОА-адрес является адресом 
конечной точки туннеля в гостевой сети. 


В примере на рис. 23.9 СОА-адрес равен 212.63.35.130. Приняв сообщение, мобильное 
устройство должно отправить запрос на регистрацию гостевому агенту. В этом запросе 
указываются несколько параметров: 


Ц адрес домашнего агента НА (в примере 194.82.44.3); 
О СОА-адрес (212.63.35.130); 


О собственный адрес мобильного устройства в домашней сети МА (194.82.44.76) и срок 
действия регистрации. 


Если гостевой агент согласен принять запрос на регистрацию (он проверяет аутентичность 
мобильного пользователя по слову в запросе, зашифрованном ключом пользователя), то 
он запоминает адреса СОА и МА и пересылает запрос домашнему агенту, используя его 
адрес НА. Домашний агент, приняв запрос, также проверяет аутентичность пользователя, 
используя его ключ, и, если запрос аутентичен, запоминает адреса МА и СОА, а также про- 
должительность действия регистрации. Завершается процедура регистрации отправкой 
сообщения о принятии регистрации домашним агентом гостевому агенту, после чего между 
гостевым и домашним агентами устанавливается туннель, по которому домашний агент 
будет передавать пакеты, присланные мобильному устройству по его домашнему адресу. 


На рис. 23.9 показаны основные этапы обмена пакетами между стационарным и мо- 
бильным устройствами после образования туннеля между домашним и гостевым аген- 
тами. На этапе 1 стационарное устройство (обычный хост) посылает пакет мобильному 
устройству по его домашнему адресу НА. Домашний агент получает этот пакет, так как 
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Рис. 23.9. Обмен трафиком через туннель между домашним и внешним агентами 


он является маршрутизатором домашней сети, и вместо того, чтобы отправить пакет мо- 
бильному устройству в кадре ЕФегпе{ по его МАС-адресу, как этого требует стандартная 
процедура обработки пакетов маршрутизатором, упаковывает его в новый [Р-пакет с адре- 
сом назначения СОА и отправляет по туннелю гостевому агенту (этап 2). Гостевой агент, 
получив такой пакет, понимает, что он направлен мобильному устройству, и передает его 
в кадре Еќћегпеѓ этому устройству (этап 3). Ответный пакет от мобильного устройства 
к стационарному хосту отправляется без использования туннеля, так как адрес хоста 
маршрутизаторы будут обрабатывать стандартным образом (этап 4). Запись о регистрации 
устройства мобильного пользователя в гостевой сети удаляется из списка записей домаш- 
него агента в одном из двух случаев — либо при регистрации устройства в домашней сети 
по его возвращении, либо по истечении срока действия регистрации. 


Мобильный [Руб 


Основное отличие версии Моше ІРУб от версии Мое ІРу4 заключаются в том, что здесь для под- 


держания мобильности нет нужды в гостевых агентах — устройство само выполняет все действия 
по поддержанию мобильности. 


Мобильное устройство 1Руб, присоединяясь к гостевой сети, получает при помощи про- 
цедуры автоконфигурации два новых [Руб-адреса: адрес уровня линии связи (1іпК-Іоса! 
ипісаѕі) и глобальный (=1оЪа| ип!саз{) СОА-адрес. Таким образом, при нахождении в го- 
стевой сети мобильный узел может использовать для своего интерфейса три [Руб-адреса: 


Я домашний глобальный НА, 
О гостевой глобальный СОА; 


О ПокК-юса|-адрес. 
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В стандарте Мое ГРуб стационарный узел, инициирующий передачу пакетов мобиль- 
ному узлу, называется узлом-корреспондентом (Соггеѕропӣепі по4е, СМ). Существует 
два варианта маршрутизации ІРуб-пакетов от узла-корреспондента к мобильному узлу. 


В первом варианте мобильный узел, присоединившись к гостевой сети и получив от нее 
1Руб-адрес СОА, сообщает этот адрес домашнему агенту. Данная процедура называется 
Втатя Ораае — «Обновление связывания», так как с ее помощью адрес СОА связывается 
с домашним адресом мобильного устройства. После этого домашний агент устанавливает 
с мобильным устройством туннель, используя СОА-адрес как конечную точку туннеля. 
Пакеты, адресованные мобильному устройству по его домашнему адресу, перехватываются 
домашним агентом и переправляются ему по туннелю. Ответные пакеты, адресованные уз- 
лу-корреспонденту, передаются также по туннелю домашнему агенту, который затем пере- 
сылает их узлу-корреспонденту. Этот вариант похож на взаимодействие узлов в стандарте 
Мое [Ру4, но имеет два отличия: во-первых, мобильное устройство взаимодействует с до- 
машним агентом и устанавливает с ним туннель без помощи гостевого агента; во-вторых, 
исключается асимметрия в маршрутах трафика, направленных к мобильному устройству 
и от него, которая в некоторых случаях приводит к нежелательным эффектам, например, 
к некорректной работе файерволов, которые запоминают состояние сессий между узлами, 
или к проблемам во взаиморасчетах между провайдерами Интернета, связанными пирин- 
говыми отношениями. 


Во втором варианте обмен происходит без участия домашнего агента. Вместо регистрации 
у домашнего агента мобильное устройство сообщает свой СОА-адрес одному или несколь- 
ким узлам-корреспондентам, которым необходимо обмениваться информацией с мобиль- 
ным устройством, в какой бы сети он ни находился (адреса своих узлов-корреспондентов 
мобильное устройство должно знать заранее). Зная СОА-адрес мобильного устройства, 
узлы-корреспонденты шлют пакеты мобильному узлу непосредственно, не прибегая к тун- 
нелированию. Маршруты следования трафика в этом варианте более рациональны, чем 
в первом, — здесь нет нужды посылать трафик домашнему агенту с тем, чтобы он переслал 
его мобильному узлу. 


Прокси-мобильный 1Руб 


Протокол Ргоху МоЫіе 1Руб, или РМИРуб, разработан для беспроводных мобильных сетей — 
как сетей \ММ-Е! кампуса, так и мобильных телекоммуникационных сетей. Главной особенностью 
протокола является то, что он освобождает мобильное устройство от какого-либо участия в под- 
держании его мобильности. 


Рассмотрим работу РМТРу6 на примере сети, показанной на рис. 23.3. Подразумевается, 
что это мобильная сеть (на рисунке показаны две ее соты)!, состоящая из следующих 
УЗЛОВ: 


О Шлюз мобильного доступа (Мо Ку Ассеѕѕ Саѓемау, МАС). Этот прокси-агент вы- 
полняет операцию связывания идентификатора мобильного устройства со своим 1Ру6- 


і Описываемая схема используется только при перемещениях мобильного устройства в пределах 
сети одного провайдера. Работа протокола РМІРУ6 при перемещениях мобильного устройства 
в масштабах Интернета не предусматривается. 


748 Часть №. Беспроводная передача данных 


адресом, который в этом случае является адресом СОА. Несколько упрощая, можно 
сказать, что он приписан к определенной соте. 


О Локальный якорь мобильности (Іоса! МоБШку Апсћог, ГМА). Это аналог домашнего 
агента — программный модуль, устанавливаемый на маршрутизаторе домашней сети 
провайдера, поддерживающий базу данных связей между идентификаторами мобиль- 
ных устройств и адресами шлюзов МАС к сетям, к которым они в данный момент 
присоединены. Домашняя сеть провайдера имеет диапазон глобальных адресов [Руб, 
маршрутизируемых в Интернет. 


О Мобильный узел (Мое №шоде, ММ). Таким узлом является мобильный телефон 
или планшет, не имеющий домашней сети, которая была у ноутбука или сервера, на 
которых был ориентированы предыдущие версии мобильного ІР. Домашней сетью 
в схеме РМІРУ6 является сеть узла МА, находящегося в центре данных провайдера 
мобильной сети. Уникальным идентификатором мобильного узла является идентифи- 
катор пользователя ІМ] (если мобильное устройство представляет собой телефон) 
или его МАС-адрес (этот вариант подходит для планшета, перемещающегося между 
сетями \Л-Е!). 


О Узел-корреспондент — узел, к которому обращается мобильный узел для обмена 
пакетами. Этот узел может находиться и за пределами сети провайдера, в любой сети 
Интернета. 


На рисунке показано, что каждая из двух сот имеет свой собственные шлюз — МАС1 
и МАС2 соответственно. Пусть мобильное устройство ММ1 регистрируется в соте, на- 
ходящейся под контролем шлюза МАС1. Будучи узлом [Руб, оно в процессе регистрации 
(мы опускаем стандартные процедуры регистрации телефона в мобильной сети) отправ- 
ляет запрос Кошет 5ойсйайоп ко всем маршрутизаторам своей сети. Получив этот запрос, 
шлюз МАС] посылает МА (адрес МА должен быть у него сконфигурирован) сообщение 
о связывании идентификатора мобильного узла ММ1 со своим 1Ру6-адресом, который яв- 
ляется СОА-адресом. Это сообщение называется «Прокси Обновление Связывания» (Ргоху 
Вілаіпе Орааѓе), оно аналогично сообщению «Обновление связывания» протокола МІРУ6. 


Получив сообщение «Прокси Обновление Связывания», узел МА проверяет, нет ли 
у него в базе данных записи с таким связыванием, и если нет, то создает ее. При этом он 
выделяет из диапазона адресов своей домашней сети уникальный префикс адреса [Руб 
длиной 64 бита, этот адрес будет однозначно идентифицировать мобильное устройство 
ММ! в сети провайдера. На рис. 23.10 показана новая запись, которую узел МА создал 
в базе данных, здесь идентификатор телефона обозначен как ММ], адрес шлюза как МАС, 
а префикс, выделенный телефону, как Ртеѓ1::/64. 


После создания новой записи ГМА посылает шлюзу МАСІ сообщение «Прокси Под- 
тверждение Связывания», содержащее префикс Ртеї1::/64 и идентификатор ММ1. Полу- 
чив сообщение, шлюз отвечает (наконец) на запрос мобильного устройства сообщением 
Вощег Айуегііѕетепї, в котором передает префикс РгеЙ::/64. Получив префикс, мобильное 
устройство конфигурирует свой глобальный уникальный 1Руб-адрес, добавляя к префиксу 
свой идентификатор, например МАС-адрес. Одновременно МА создает туннель между 
собой и шлюзом МАС1. Мобильный узел отправляет свои пакеты узлу-корреспонденту, 
указывая его [Руб-адрес (в качестве адреса назначения) и свой адрес с префиксом Рге!::/64 
(в качестве адреса источника). Он передает их шлюзу МАС1 (как своему маршрутизатору 
по умолчанию). Но шлюз МАС отправляет эти пакеты не обычным способом, а передает 
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Рис. 23.10. Принцип работы мобильного протокола РМ!Руб 


их узлу [МА по туннелю. Узел МА извлекает оригинальные пакеты из пакетов ІР-в-ІР 
туннеля и отправляет их узлу-корреспонденту обычным образом, который, получив пакет 
от мобильного узла ММ1, посылает ему ответ, используя в качестве адреса назначения 
1Ру6-адрес с префиксом Рге{1::/64. Поскольку префикс принадлежит домашней сети узла 
МА, пакет с ответом маршрутизируется к узлу МА, который его перехватывает и на- 
правляет по туннелю шлюзу МАС1. Последний, действуя как маршрутизатор, передает 
его мобильному узлу ММ1. Обмен данными мобильного узла с узлом-корреспондентом 
происходит по симметричным маршрутам. При отсоединении мобильного устройства от 
соты со шлюзом МАС] и эстафетной передаче его в соту со шлюзом МАС2 шлюз МАС1 
посылает агенту ГМА сообщение о том, что мобильное устройство уже не связано с этой 
сотой. Получив сообщение, агент . МА запускает таймер удаления записи связывания 
мобильного устройства со шлюзом МАС1. Если мобильное устройство успевает присо- 
единиться к шлюзу МАС2 (выполнив ту же последовательность действий, что и при при- 
соединении к соте шлюза МАС1) до истечения таймера, то агенту МА не нужно создавать 
новую запись в своей базе связываний — достаточно заменить адрес шлюза МАСІ на адрес 
шлюза МАС2 и создать туннель к шлюзу МАС2. 


Во время между отсоединением от шлюза МАС] и присоединением к шлюзу МАС2 трафик 
к мобильному устройству ММ1 отбрасывается. 


Для ускорения процесса эстафетной передачи между сотами при применении протокола 
РМГРуб разработана его специальная версия ЕРМТРуб (Еаѕї Напдоуег$ юг РМТРу6б, ВЕС 
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9949), согласно которой при смене соты вместо установления нового туннеля между [МА 
и МАС2 новый туннель устанавливается между шлюзами МАСІ и МАС2. Пакеты, адресо- 
ванные узлом-корреспондентом мобильному узлу, по-прежнему перехватываются узлом 
[МА и направляются шлюзу МАСЇ, так как узел 1.МА не знает о переходе мобильного узла 
от шлюза МАС] к шлюзу МАС2. Затем шлюз МАС1 переправляет эти пакеты по туннелю 
шлюзу МАС2, а тот, в свою очередь, — мобильному устройству. Установление туннеля 
между шлюзами МАС может быть прогнозируемым, в этом случае он устанавливается до 
того, как мобильное устройство теряет физическую связь с текущей сотой и устанавливает 
ее с новой сотой. Предполагается, что базовая станция текущей соты некоторым образом 
уведомляет шлюз МАСІ о необходимости эстафетной передачи (каким — стандарт не 
уточняет, это оставлено на усмотрение протоколов нижних уровней, специфических для 
используемой технологии доступа). После этого шлюз МАС1 по протоколу ЕРМТРуб 
уведомляет шлюз МАС2 об эстафетной передаче и установлении между ними туннеля. 
Прогнозируемое установление туннеля исключает потери пакетов во время эстафетной 
передачи, исключение центрального узла МА из этой процедуры делает эту передачу 
более быстрой. 


Пятое поколение 5С 


Новый взгляд на роль мобильных сетей 


Концепция сетей (ТЕ предполагала эволюционное развитие технологий и услуг, без 
резких революционных изменений. В течение довольно длительного времени так и про- 
исходило, что позволяло называть новые релизы стандартов ЗСРР стандартами 4-го по- 
коления. Вносились усовершенствования в радиосеть доступа за счет различных новшеств 
(увеличение числа антенн для параллельного обмена данными ММО, агрегирование 
нескольких частотных диапазонов в общий с шириной полосы в 100 МГц на оператора 
и др.), повышающих скорости приема и передачи данных. Но все эти изменения были не- 
достаточными, чтобы назвать усовершенствованные сети сетями следующего поколения. 


Они по-прежнему назывались сетями 4-го поколения, с различными приставками: ІТЕ-А 
(Аауапсеа ІТЕ), ІТЕ-В и ГТЕ-С. 


Новшество, послужившее основанием для использования термина «сети 5-го поколения» (58а), 
состояло в виртуализации сети, в превращении ее в программируемую сеть, использующую все 
последние достижения в области облачных центров данных, виртуализации сетевых функций МЕМ 
и программно-определяемых сетей $0М. 


Причиной, приведшей к такой трансформации мобильной сети, стало стремление к рево- 
люционному расширению набора услуг, оказываемых мобильной сетью. При этом имеются 
в виду услуги сетей всех типов: как телефонных, так и компьютерных сетей, как стацио- 
нарных, так и мобильных, как публичных, так и корпоративных. Эти услуги должны охва- 
тывать не только традиционных пользователей мобильных сетей (людей с телефонами 
и планшетами), но и неодушевленных пользователей: автоматизированные промышленные 
устройства и установки, транспортные средства и всевозможные объекты Интернета вещей. 
оснащенные датчиками и исполнительными механизмами. Беспроводной доступ к таким 
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услугам для новых типов «пользователей» подходит очень хорошо, не ограничивая свободу 
передвижения устройств проводами. Для достижения этой цели архитектура мобильной 
сети неминуемо должна измениться, став платформой, поддерживающей весь жизненный 
цикл существования услуги: разработку услуги с помощью программных средств в коллек- 
тивной среде (подобной СіНир), отладку и тестирование услуги на реальном оборудова- 
нии мобильной сети, запуск услуги в эксплуатацию и поддержание во время эксплуатации, 
прекращение предоставления услуги с безопасным удалением всех ее элементов из сети. 
Предполагается, что в описанных выше процессах разработки и предоставления услуг сетей 
5-го поколения будут принимать участие различные заинтересованные стороны: 


Ч конечные пользователи разных типов: индивидуальные, корпоративные, промышлен- 
ные объекты ит. п.: 


О провайдеры конечных услуг различных типов: провайдеры телефонных услуг, скорост- 
ного доступа к Интернету, услуг интернет-телевидения, услуг управления промышлен- 
ными объектами ит. п.: 


О разработчики конечных услуг: программисты, интеграторы; 
О провайдеры услуг инфраструктуры: центров данных, виртуальных сетей; 


Ч оператор сети — организация, отвечающая в целом за функционирования сети как 
платформы для создания и предоставления услуг. 


Альгернативой программируемости сети может быть только создание в ней независимых 
физических сетей, каждая из которых служит для оказания услуги определенного вида. 
По этому пути шли разработчики сетей предыдущих поколений, яркий пример такого 
подхода — существование отдельных сетей для предоставления услуг телефонии и досту- 
па к Интернету в сетях 2С и ЗС. Но если такой подход успешно работал для случая двух 
разнородных услуг, то он вряд ли является перспективным, если планируется оказание 
десятков услуг разного типа, при том, что точно не известно, какие новые услуги понадо- 
бится предоставлять в ближайшем будущем. Таким образом, необходимы принципиально 
новые решения. 


В стандарте ЗСРР Кееазе 15 (принят в июне 2018 года) были определены концепции ново- 
го типа мобильных сетей, которые решено называть сетями 5-го поколения. 


Области применения сетей 5С 


Разработчики первой версии стандарта 5С в качестве первоочередных наметили следую- 
щие области (помимо услуги мобильного телефонного соединения): 


Улучшенный мобильный скоростной доступ к Интернету (ЕпБапсед Мое ВгоаБапа, 
еМВВ). Эта услуга должна отличаться от аналогичной услуги 4С более высокими скоро- 
стями передачи данных, более высокой мобильностью пользователей, более высокой плот- 
ностью соединений в зависимости от сценария ее предоставления: город, офис, сельская 
местность, борт самолета и т. д. Примерами ожидаемых средних скоростей такого доступа 
являются: 50 Мбит/с при приеме и 25 Мбит/с при передаче для города, сельской местности 
(пешеходы) и в быстро движущихся поездах (до 500 км/ч) и автомобилях (до 250 км/ч). 
Для плотно населенных городских территорий (аэропорт, стадион, торговый центр) будет 
обеспечиваться скорость при приеме до 300-500 Мбит/с. В офисах ожидается скорость 
приема до 1 Гбит/с. Для пассажиров самолета будет обеспечиваться скорость 1,2 Гбит/с 
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на самолет (разделяемая между всеми пассажирами). Приведенные здесь требования от- 
носятся к скоростям первой версии сети 5С, а в следующих версиях ожидается повышение 
скорости приема до 20 Гбит/с и скорости передачи до 10 Гбит/с. 


Критические коммуникации (Сгібісаі СоттишсаНоп$, СС) и сверхнадежная связь 
с низкой задержкой (Ога КеіаЫе апа Гом Габепсу Соттигисайоп$, ОКІЛС). Ряд обла- 
стей применения требуют от мобильной сети передачи данных с очень низкой задержкой 
и очень высокой степенью надежности. Это управление промышленными объектами в ре- 
альном времени, управление беспилотными автомобилями и аналогичными транспортны- 
ми средствами, управление роботами, оказание срочной медицинской помощи. Для этих 
целей требования к скорости передачи не такие высокие, как у услуг доступа в Интернет, 
но зато очень высокие требования к величине задержки данных: не более 1-5 мс для менее 
требовательных приложений (оказание срочной медицинской помощи) и не более 0,5 мс 
для более требовательных (управление промышленным процессом или беспилотным 
автомобилем). Во многих случаях потребуется очень высокая надежность соединения 
(до 99,9999 %), так как прерывание может привести к катастрофическим последствиям. 
Перенос серверов в пограничный домен сети 5С в соответствии с тенденцией пограничных 
вычислений может существенно сократить задержки. 


Массивный Интернет вещей ( Маѕѕіуе Іпѓегпеѓ о Тһіпреѕ, МТоТ). Интернет вещей недале- 
кого будущего будет населен огромным количеством объектов различной природы, требу- 
ющих обмена данными для выполнения своих функций. Количество таких мобильных объ- 
ектов, имеющих подписку на мобильные услуги, оценивается в 1,5 миллиарда к 2021 году 
(но все же меньше, чем «живых» пользователей, которых к этому же времени будет около 
5—6 миллиардов). Специфические требования этой области применения сетей 5С: низ- 
кое энергопотребление сетевых адаптеров этих устройств, которое должно позволить им 
работать без подзаряда до 10 лет; широкая территория покрытия. Требования к скорости 
обмена данными для этой области, в основном умеренные, в районе 10 Мбит/с, но для не- 
которых сценариев требования к задержке могут быть достаточно жесткими, от 1 до 5 мс. 


Виртуализация сети 5С 


Виртуализация сети — главное отличие сетей 5С от мобильных сетей предыдущих поколе- 
ний, которое должно помочь решить проблему совмещения в одной сети различных услуг, 
предъявляющих различные и часто противоречивые требования к ее характеристикам. 
Под виртуализацией понимается создание в сети различных логических сетей над общей 
разделяемой физической инфраструктурой. Известно несколько примеров технологий, 
основанных на виртуализации физических ресурсов. Так, технология виртуальных ло- 
кальных сетей (УГАМ) позволяет разделить общую физическую сеть, построенную на 
коммутаторах, на отдельные, непосредственно не взаимодействующие логические сети, 
которые затем можно объединить маршрутизаторами и создать требуемую топологию 
сети, которую, в свою очередь, можно изменять логически, не прибегая к реконфигурации 
физических связей в сети. Другим широко распространенным примером виртуализации 
является техника виртуальных машин (УМ), за счет которой физические ресурсы одного 
компьютера разделяются между несколькими виртуальными компьютерами, каждый из 
которых работает под управлением отдельной ОС и потребляет отведенную ему долю фи- 
зических ресурсов — процессорных циклов или ядер, памяти, диска и производительности 
сетевых интерфейсов. В сетях 5С виртуальной единицей является слайс сети. 
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Слайс (51се — срез, ломтик) сети 56 — набор элементов сети, специализирующихся на предо- 
ставлении определенного сервиса или типа сервисов и образующих виртуальную сеть 5С. 


Так, в сети может существовать один слайс, предоставляющий услуги Интернета вещей, 
другой слайс — для поддержки «классических» услуг телефонии, третий — для услуг 
транспорта и т. д. Разные слайсы отвечают разным требованиям, предъявляемым к произ- 
водительности и параметрам 005, или же отличаются ориентацией на определенные типы 
пользователей (например, пользователи публичных служб безопасности (скорая помощь 
или пожарная бригада), «пользователи» Интернета вещей). Слайс «нарезает» физическую 
сеть «из конца в конец», охватывая все транспортные домены мобильной сети — радио- 
сеть, транзитная сеть, магистральная сеть, а также центры данных, в которых расположены 
серверы сети, на которых работают приложения, выполняющие функции слоя управления. 
Различные слайсы могут использоваться одновременно и взаимодействовать друг с другом. 
В зависимости от особенностей своего бизнеса оператор решает, как много слайсов ему 
надо внедрить в своей сети и какие функции нужно разделять между слайсами. 


Каждый слайс характеризуется в терминах Оо (задержка, джиттер), а также скоростью 
передачи данных, надежностью соединения и максимально допустимой скоростью пере- 
мещения мобильных устройств. Набор характеристик слайса может быть предопределен 
в стандарте ЗСРР или же определен самим оператором. В стандарте ЗСРР Каеазе 15 
имеются три типа предопределенных слайсов: 


О Слайс 1-го типа предназначен для реализации услуг улучшенного широкополосного 
доступа в Интернет (еМВВ). 


Ц Слайс 2-го типа — для реализации услуги сверхнадежных коммуникаций с низкой 
задержкой ОВГ.ГС. 


О Слайс 3-го типа — услуга массового Интернета вещей ( МТоТ). 


Определяемые операторами слайсы будут отличаться большим разнообразием, например, 
может быть определен слайс для управления беспилотными автомобилями, который будет 
подслайсом слайса 2-го типа. Над уровнем слайсов располагается уровень приложений, 
оказывающих специфические услуги конечным пользователям. В терминах семиуровневой 
модели ОЗ] слайс можно рассматривать как реализацию нижних уровней этой модели, 
включая транспортный. Последний является очень гибким, предоставляя не два типа 
транспортного сервиса (ОРЮР и ТСР), а гораздо больше и с гораздо более точно опреде- 
ленными характеристиками. 


В сети 5С будет работать функция выбора слайса М5ЗЕ (3№егмогкК 5]ісе З@есйоп Еипсйоп), 
с помощью которой приложение, работающее на устройстве пользователя, сможет вы- 
брать необходимый слайс. Устройство пользователя может обращаться к услугам сразу 
нескольких слайсов. У устройства могут быть заданы правила отображения некоторого 
приложения на слайс определенного типа, например, приложение «Видео по требованию» 
будет в соответствии с этими правилами выбирать слайс 1-го типа, а приложение слежения 
за температурой в доме — 3-го типа. 


Для организации таких сложных систем, как слайсы, и гибкой среды для разработки и пре- 
доставления широкого спектра услуг в сети 5С потребуется применение новых подходов 
и технологий. Поиск этих подходов и технологий происходил на основе опыта, приобре- 
тенного провайдерами облачных сервисов, который показал, что наиболее эффективные 
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решения основаны на повышении программируемости сети. К наиболее перспективным 
технологиям, обеспечивающим программируемость сети и тем самым наделяющим мобиль- 
ные сети возможностями быстрой адаптации к требованиям новых типов пользователей 
и новых типов услуг, были отнесены технологии ЗОМ и МЕУ (см. главу 16). 


Различные представления архитектуры сети 5С 


Ввиду того что в сети 56 широко используются технологии виртуализации, ее архитектуру 
достаточно сложно представить на одной структурной схеме, так как между ее виртуаль- 
ными элементами могут существовать разнообразные связи, создающие сложную паутину 
линий. Начнем рассмотрение архитектуры сети 5С с обобщенной схемы, укрупненно по- 
казывающей основные элементы сети (рис. 23.11). 
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Рис. 23.11. Обобщенная архитектура сети 5С 
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Сеть 5С, как и се предшественники, состоит из нескольких транспортных сетей: 
О сетей доступа нескольких типов; 

Ц магистральной сети; 

О транзитной сети, соединяющей сеть радиодоступа с магистральной сетью. 


В слое управления сосредоточены функции управления пользователями (аутентификации, 
авторизации, биллинга и т. п.) и всеми тремя типами транспортных сетей. Как видно из 
рисунка, в сети 5С может сосуществовать несколько сетей доступа разного типа: радиосети 
стандартов 4С и ЭС, радиосети \УЛ-Е1 и сети проводного доступа (для подключения сетей 
офисов и кампусов). Такая неоднородность представляет собой дополнительную проблему 
для магистральной сети 5С, но в то же время демонстрирует намерения ее разработчиков 
предоставить доступ к сети самыми различными способами. 
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Как и в сетях 46, функциональные элементы сети делятся на две категории: к первой 
относятся функции пользовательского плана, то есть занимающиеся продвижением [Р- 
пакетов в транзитной и магистральной сетях (маршрутизаторы, коммутаторы, файерволы). 
Вторую категорию образуют функции плана управления, в которые, наряду с протоколами 
плана управления стека ТСР/ІР входят специфические функции управления мобильной 
сетью (управление мобильностью, учетными данными пользователя, биллинг и др.). Два 
новых элемента — сеть услуг и локальная сеть услуг — являются сетями центров данных 
провайдеров услуг сети 5С. В этих сетях находятся серверы приложений, которые, соб- 
ственно, и реализуют специфические услуги этой сети. Локальная сеть услуг приближена 
к пользователям для уменьшения времени реакции сети до 0,5-5 мс, что необходимо для 
критических коммуникаций и некоторых услуг Интернета вещей. 


Схема обобщенной структуры отражает деление сети 5С на слайсы. На ней показаны три 
слайса, организованные внешне однотипно, но имеющие различную внутреннюю орга- 
низацию за счет разного состава функций каждого типа и различной структуры связей 
между ними. Блоки обобщенной архитектуры сети 5С соответствуют группам функций 
одного назначения. Так, блок функций пользовательского плана может включать функцию 
коммутатора ОМ, функцию контроллера ОМ, несколько функций приложений $50\, об- 
рабатывающих трафик по специфическим правилам продвижения, а также реализованные 
программным способом виртуальные сетевые функции технологии МЕУ (функции тради- 
ционного маршрутизатора, коммутатора локальной сети, файервола, фильтра содержимого 
пакетов, функции шлюзов 5-С\У/и РОМ-СУ сети ІТЕ и др.). Эти функции могут соеди- 
няться друг с другом различными способами, образуя виртуальную транспортную сеть. 
Этими соединениями может управлять оркестратор МАМО или же другой подобный эле- 
мент, управляющий образованием цепи функций, выполняющих согласованные действия 
по обработке трафика. То же самое относится и к группам функций слоя управления — за 
каждым блоком схемы обобщенной архитектуры стоит набор функций, которые могут 
быть соединены в цепь для выполнения необходимых функций по управлению функциями 
пользовательского слоя и сетей услуг. 


Кроме обобщенной архитектуры сети 5С существует и ее детальная архитектура, описан- 
ная, как и детальные архитектуры ее предшественниц, технологий ЗС и 4С, в стандартах 
ЗСРР Но она принципиально отличается от детальных архитектур сетей ЗС и 4С, в кото- 
рых описаны функции каждого блока архитектуры и интерфейсы между этими блоками, 
в которых каждый интерфейс жестко соответствует определенной связи между блоками, 
как, например, интерфейс Х2 соответствует связи между двумя узлами еМо4еВ сети ІТЕ. 
Представление архитектуры сети с жесткими интерфейсами между ее блоками называ- 
ется представлением со справочными точками, а интерфейс Х2 является примером такой 
справочной точки. Для сети 5С выбран иной способ представления архитектуры — пред- 
ставление, основанное на услугах (Ѕегуісе Ваѕеа Кергеѕепќайоп, 5ВК, рис. 23.12). 


Вместо описания жестких интерфейсов между функциями этот способ описывает про- 
граммный интерфейс доступа к каждой функции, оставляя вопрос связей между функцими 
открытым. Предполагается, что функция А может воспользоваться услугами функции В, 
запросив эту услугу с помощью соответствующего программного интерфейса (АРГ. Про- 
граммный интерфейс будет базироваться на протоколе НТТР (КЕЅТ АРІ). Такой способ 
представления архитектуры в гораздо большей степени соответствует виртуальной при- 
роде сети 56, в которой связи между блоками могут гибко изменяться в зависимости от 
назначения слайса. 
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Рис. 23.12. Представление архитектуры 56, основанное на услугах 


Из рис. 23.12 видно, что функции слоя управления (функция сервера аутентификации 
(Аифеписайоп Ѕегуег Еипсёіоп, АОЧЅЕ), функция управления доступом и мобильностью, 
функция управления сессиями (5еѕ5і0оп Мапаветепі Еипсйоп, 5МЕ) и ряд других) не 
связаны друг с другом жесткими связями. Вместо этого показана их связь с некоторой 
общей шиной обмена сообщениями, с помощью которой они могут пользоваться услу- 
гами друг друга. Возле символа каждой функции показан ее программный интерфейс, 
например, Мац${ — программный интерфейс функции сервера аутентификации АОЅЕ 
Если функции управления доступом и мобильностью АМЕ нужно выполнить аутенти- 
фикацию пользователя, то она может вызвать функцию сервера аутентификации АЦЗЕ 
направив ей запрос в соответствии с правила интерфейса Мац${ через общую шину обмена 
сообщениями. 


В наборе функций слоя управления имеются и служебные функции, поддерживающие 
взаимодействие между остальными функциями. К таким функциям относится функция 
менеджера репозитория функций: этот репозиторий представляет собой базу данных 
описаний всех функций системы, что помогает переносу некоторой услуги из сети одного 
оператора в сеть другого оператора, так как услуга может проверить, имеются ли в наличии 
нужные функции для ее реализации. 


Особое место в этой архитектуре занимают прикладные функции (АррІісайоп Еипсііопз, 
АЕ), реализующие логику некоторой пользовательской услуги. Прикладная функция 
также может вызывать другие функции для выполнения некоторой работы, но при этом 
вызывать их непосредственно она может только тогда, когда оператор сети «одобрил» при- 
кладную функцию, то есть признал ее безопасной. Прикладная функция, разработанная 
третьей стороной и не одобренная оператором, может вызвать сетевую функцию только 
через посредника -- менеджера доступа к функциям сети. 
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Основанное на услугах (взаимных услугах сетевых функций) представление архитектуры 
сети 5С позволяет гибко строить цепи функций в стиле МЕУ, не ограничиваясь жесткой 
структурой связей между ними. Отметим, не все элементы архитектуры сети 5С связаны 
друг с другом гибким механизмом услуг, описанным выше. Радиосеть и функции поль- 
зовательского слоя ОРЕ связаны друг с другом и функциями слоя управления жесткими 
интерфейсами (показаны на рис. 23.12 справочными точками М1 -№6). 
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Рис. 23.13. Взаимоотношения физических ресурсов, сетевых слайсов и услуг в сети 5С 


Завершая всестороннее рассмотрение архитектуры сети 5С, обратим внимание читателей 
на рис. 23.13, иллюстрирующий взаимоотношения между физическими ресурсами сети, 
сетевыми слайсами и услугами «из конца в конец» для конечных пользователей сети, пред- 
ложенный рабочей группой по разработке архитектуры сети 5С ассоциации 5С-РРР (5С 
Рис Ргіуаѓе Рагпег$ р). Из диаграммы видно, что физические ресурсы сети отобража- 
ются в два сетевых слайса, отвечающих требованиям областей управления автомобилями 
и промышленными роботами. На основе этих слайсов создаются конкретные услуги для 
названных типов пользователей. В правой части диаграммы показаны оркестраторы раз- 
личного типа, позволяющие быстро создавать виртуальные элементы сети: транспортные 
сети пользовательского слоя, слайсы и услуги для конечных пользователей. 


Новое радио 


Для достижения высоких скоростей передачи данных и низких уровней задержки па- 
кетов в радиосети 5С применены новые технологии и приемы. Некоторые из них уже 
введены в поздних версиях стандартов сетей ІТЕ (ГТЕ Адуапсеа), но не нашли широкого 
применения. В сетях 5С они развиты и усовершенствованы. В то же время в радиосети 
доступа 5С имеются и совсем новые технологии, что, вероятно, и дало повод называть 
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эту сеть «Новое радио» (Ме\ Ка41о, МК). Ожидается, что сеть доступа 5С будет гетеро- 
генной: кроме «Нового радио» в ней будут использоваться технологии доступа радио- 


сетей 4С ІТЕ, сетей М-ГЕ, проводные технологии доступа — например, АБ. (см. вновь 
рис. 23.11). 


Новым свойством радиосети 5С является добавление нового частотного диапазона 
миллиметровых волн (от 24 до 52 ГГц). В подобном диапазоне мобильные телефоны еще 
не работали — он используется в основном для спутниковой и радиорелейной связи, 
в радарах и сканерах. Основным достоинством этого диапазона (в стандартах сетей 5С он 
называется ЕК2) является его большая частотная емкость по сравнению с гораздо более 
«населенными» диапазонами частот ниже 6 ГГц. В разных странах она разная, но, напри- 
мер, только в диапазоне со средней частотой 27 ГГц, по оценкам специалистов, частотные 
полосы с суммарной емкостью около 3,5 ГГц можно использовать для работы сетей 5С. 


Понятно, что чем шире полоса частот, тем потенциально выше скорость передачи данных. 
Новое радио 5С в диапазоне ЕК2 будет использовать шаг между частотными подканалами 
ОЕОМ 120 кГц вместо шага 15 кГц в сетях 4С, и одно это изменение позволит повысить 
скорость передачи данных в 8 раз. Все ожидания получения сверхскоростей в сетях 56 
связаны прежде всего с новым, миллиметровым диапазоном. Еще одно преимущество 
миллиметровых волн — малый размер антенн (вспомним, длина антенны должна равняться 
половине длины волны), так что в телефон можно встроить десятки и сотни антенн для 
этого диапазона. Но применение миллиметровых волн имеет и свои недостатки. В главе 21 
упомянуты проблемы распространения волн этого диапазона (при наличии в воздухе 
водяных капель или даже тумана). Кроме того, чем выше частота, тем хуже проникает 
сигнал через препятствия, а значит, для приема такого сигнала в помещении понадобится 
внешняя антенна. 


Чем выше частота, тем быстрее убывает и энергия сигнала с расстоянием от источника. 
При частоте сигнала 26 ГГц максимальный радиус покрытия составляет 377 м (для срав- 
нения: радиус покрытия сигнала частотой 3,5 ГГц, которая также будет использоваться 
Новым радио, равен 2 км). Небольшой радиус покрытия требует применения малых сот 
размером от нескольких десятков до сотен метров, а также большого количества антенн 
в этих сотах, компенсирующих плохое прохождение сигнала через препятствия. Образ 
города, насыщенного высокочастотными передатчиками, вызвал опасения за здоровье 
населения и протесты, которые в ряде случаев привели к отмене решений властей по те- 
стированию систем 5С (например, в Брюсселе в апреле 2019 года), хотя медики считают, 
что нет никаких доказательств вредного воздействия миллиметровых волн на здоровье 
человека. Скорее всего, первые промышленные внедрения сетей 5С будут происходить 
в более низком частотном диапазоне, который условно назван диапазоном «ниже 6 ГГц» 
и получил обозначение ЕК1. Коротко перечислим свойства Нового радио, которые были 
известны в сетях [ТЕ и теперь с улучшениями переносятся в технологию 5С: 


Ц Мультиплексирование ОЕРМ. В сетях 5С техника ОЕРЮМ будет применяться как при 
приеме, так и при передаче (в сетях ІТЕ она применяется только при приеме, а при 
передаче используется техника 5С-ЕШОМ). Это усовершенствование должно повысить 
скорость передачи данных телефонов 5С. 


О Кодирование ОАМ. ВТТЕ самым скоростным было кодирование 64-ОАМ, передающее 
6 бит за такт и применяемое только в идеальных условиях вблизи передатчика БС, 
а в первой версии сетей 5С будет применяться кодирование 256-ОАМ, причем в по- 
следующих версиях возможно применение 1024-ОАМ. 
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О М/МО. Применение большего количества антенн. В сетях 4С на практике обычно огра- 
ничивались схемами ММО 1х 2и2 х 2, нов сетях 5С телефоны должны поддерживать 
схему 8 х 8 для приема и 4 х 4 для передачи. 


О Применение малых сот. Ожидается широкое применение малых сот различного типа 
(табл. 23.1). 


Таблица 23.1. Типы малых сот 


Типичное применение Количество пользователей Радиус 


16—128 Десятки метров 
аэропорты, торговые центры 
Микро Городские районы, 128—256 Несколько со- 
не покрытие макросотами тен метров 
Метро Городские районы, где нужна дополни- | > 250 Сотни метров 
тельная емкость сети 


Жилые дома, офисы, предприятия < 50 Десятки метров 


В завершение заметим, что новые свойства сетей 5С в теории действительно выглядят ре- 
волюционно. Но как эти сети проявят себя на практике, пока неясно, в момент написания 
данной книги они прошли в основном лишь тестовые испытания. Как гласит известное 
изречение, приписываемое разным знаменитым людям: «В теории разницы между теорией 
и практикой нет. Но на практике она есть». 


Вопросы к части Уі 


Е 


ей 


18. 


19. 


20. 


21. 
22. 


Может ли проводная связь быть мобильной? 
Частоты какого диапазона выше: видимого света или микроволнового? 
Вследствие какого эффекта электромагнитные волны следуют поверхности Земли? 


За счет чего технологии широкополосного сигнала уменьшают влияние помех на по- 
лезный сигнал? 


Как определяется коэффициент усиления антенны? 
Какой размер должен быть у антенны-диполя? 


В чем отличие назначений пространственного мультиплексирования и пространствен- 
ного разнесения? 


Какой вариант ЕН55 эффективнее уменьшает влияние помех — быстрого или мед- 
ленного расширения частоты? 


За счет чего возможно выделить сигнал отдельного канала из общего сигнала в муль- 
типлексировании СОМА? 


Какой должна быть частота модуляции сигнала в подканалах ОЕРЮМ, если известно, 
что эти подканалы сдвинуты относительно друг друга на 20 кГц? 


В чем состоит негативный эффект засвеченного терминала? 
Каким образом обнаруживает коллизии уровень МАС в сетях 802.11? 


Может ли станция сети 802.11 передать кадр другой станции, входящей в ту же В$5- 
сеть, не непосредственно, а через точку доступа? 


Какое значение имеет поле «Длительность» кадра \П-ЁЕ! с широковещательным адре- 
сом назначения? 


Каким образом синхронизируются станции в распределенном режиме доступа? 
За счет чего режим РСЕ всегда имеет приоритет перед режимом РСЕ? 


За счет чего достигается увеличение расстояния взаимодействия устройств в варианте 
ВІџеѓооёћ Г.опр О1$апсе? 


Какого класса должны быть устройства ВІџеѓооѓћ, чтобы взаимодействовать на рас- 
стоянии 30 м? 


Предложите вариант организации сот СЅМ с повторным использованием четырех 
частот. 


Как можно увеличить количество одновременно обслуживаемых абонентов в некото- 
рой области покрытия мобильной сети С$М? 


Почему пейджинг выполняется в нескольких сотах? 


Назовите недостаток метода эстафетной передачи при первом превышении мощности 
сигнала новой соты мощности сигнала текущей соты? 


Вопросы к части Мі 761 


23. Почему нельзя узнать номер своего мобильного телефона, просматривая данные его 
установок? 


24. Какова максимально возможная скорость передачи пользовательских данных в сети 
СРК (при выделении всех тайм-слотов одному пользователю)? 


25. Сколько ресурсных блоков сети ІТЕ нужно выделить логическому каналу, чтобы его 
скорость передачи данных была равна 2,016 Мбит/с при методе кодирования 64-ОАМ? 


26. С какой целью устанавливается СТР-туннель между шлюзами 5-С\ и РОМ-С\ 
сети ІТЕ? 


27. Какие технологии используются для виртуализации сети 5С? 


28. В чем преимущества и недостатки нового диапазона частот 26 ГГц в сетях 56? 
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О Глава 25. Служба управления сетью 


С точки зрения пользователей компьютерные сети представляют собой набор служб, предостав- 
ляющих разнообразные услуги: электронная почта, М/М/ИМ, интернет-телефония, удаленный доступ 
к файлам, справочная служба, облачные вычисления и многие другие. 


Заметим, что термин «ѕегуісе» в технической литературе переводится и как «сервис», и как «услуга», 
и как «служба». Хотя указанные термины иногда используются как синонимы, следует иметь в виду, 
что в некоторых случаях различие в значениях этих терминов носит принципиальный характер. Мы 
понимаем под «службой» сетевой программный компонент, который реализует предоставление не- 
которого набора услуг, а под «сервисом» — собственно тот набор услуг, которой предоставляется 
службой. То есть термины «сервис» и «услуга» используются далее как синонимы. Все перечисленные 
службы предоставляют прикладные, они же информационные, сервисы и реализуются программным 
обеспечением, работающим на конечных узлах сети — компьютерах. Очевидно, что прикладные 
сервисы не могут предоставляться без обеспечивающих их транспортных сервисов, но эти функции 
сети скрыты от конечных пользователей. 


В то же время характеристики транспортных сервисов, доставляющих информацию от одного конеч- 
ного узла сети другому, существенно влияют на качество прикладных сервисов, например, доставка 
пакетов интернет-телефонии с задержками более 100 мс сделает голос собеседника неузнаваемым, 
а предоставление видеосервису пропускной способности менее 5 Мбит/с приведет к многочис- 
ленным остановкам изображения высокого разрешения. Именно требования прикладных сетевых 
сервисов являются движущей силой всех изменений и усовершенствований в области транспортных 
технологий. Рост популярности мультимедийных сервисов реального времени (потоковое видео, 
аудио) привел к появлению новых протоколов транспортного уровня, переносящих временные от- 
метки в отправленных пакетах, позволяющие приемной стороне контролировать темп поступления 
данных. Другим следствием растущей популярности мультимедийных сервисов стал взрывной рост 
объемов трафика, переносимого Интернетом, что делает насущным дальнейший рост производи- 
тельности транспортных сервисов этой глобальной сети. 


В этой части книги вы познакомитесь с организацией наиболее популярных прикладных сетевых 
служб, предоставляющих свои услуги конечным пользователям: почтой, веб-службой и сетевым 
управлением на основе протокола 5ММР 
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Некоторые службы, а именно службы поддержки транспортных средств сети ОМ$ и ОНСР выпол- 
няющие адресацию сетевых узлов, рассмотрены в предыдущих главах, учитывая их тесную связь 
с работой стека протоколов ТСР/ІР. 


Существует и еще одна группа прикладных сетевых служб, которая обеспечивает безопасность сети, 
выполняя аутентификацию и авторизацию пользователей, шифрование трафика и ряд других важных 
операций, которая рассматривается в последней части книги, целиком посвященной средствам 
обеспечения безопасности. Там вы также найдете описание проблем безопасности, специфических 
для каждой из прикладных служб, ориентированных на конечного пользователя, то есть проблем 
безопасности веб-сервисов, почтовой службы и др. 


ГЛАВА 24 Информационные 
службы ІР-сетей 


Общие принципы организации 
сетевых служб 


Службы принято делить на несколько групп по типам адресатов предоставляемых ими 
услуг: 
О Службы, ориентированные на конечных пользователей и их приложений, такие как 


служба печати, файловый сервис, почта, веб-сервис, справочная служба, ІР-телефония, 
служба облачных вычислений. 


О Службы, обеспечивающие безопасность сети: к ним относятся сетевая аутентификация, 
авторизация и контроль доступа. Услуги этих служб требуются как конечным пользо- 
вателям, например, при интерактивном входе в сеть, так и другим службам, которым 
необходимо защитить свою информацию и аутентифицировать своих пользователей, — 
примером может быть служба баз данных, аутентифицирующая своих пользователей 
с помощью службы сетевой аутентификации. 


О Службы, ориентированные на сетевых администраторов, решающих задачи конфи- 
гурирования и управления сетевыми устройствами; в эту категорию входят службы 
управления сетью на основе протоколов &е|пеё и 5ММР, служба мониторинга и аудита. 


О Службы, помогающие компьютерам и сетевым устройствам предоставлять свои транс- 
портные услуги: служба отображения символьных имен узлов на ІР-адреса (035) 
и служба динамического назначения адресов (ОНСР). 


О Службы поддержки распределенных вычислений, например, служба репликации, служ- 
ба вызова удаленных процедур (КРС), являющиеся вспомогательными по отношению 
к другим службам. 


Клиентами сетевых служб могут быть другие сетевые службы, например, в число клиентов 
справочной службы входят служба аутентификации и почтовая служба. 


В то же время служба, помимо основных услуг, дающих имя этому типу службы, может 
предоставлять и вспомогательные услуги. Например, веб-служба может выполнять аутен- 
тификацию самостоятельно, не обращаясь к централизованной службе сетевой аутентифи- 
кации. Большая часть прикладных сетевых служб оформляются как приложения, то есть 
в виде исполняемых модулей стандартного для ОС, в среде которой они выполняются, 
формата. Поскольку такой же формат имеют и многие модули ОС, часто бывает сложно 
провести четкую грань между ОС и сетевыми службами. Решение о том, должна ли какая- 
то служба стать частью ОС или нет, принимает производитель последней. 


В некоторых случаях для повышения производительности сервиса служба или ее опре- 
деленные компоненты включаются в ядро. Примером являются клиентская и серверная 
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части файловой службы, которые часто встраивают в ядро с тем, чтобы они могли получать 
быстрый прямой доступ ко всем модулям ОС без затрат времени на переключение режима 
из пользовательского в привилегированный. 


Сетевые службы чаще всего представляют собой двухзвенные! распределенные прило- 
жения: одно из звеньев является клиентом, другое — сервером. Клиентская и серверная 
части в общем случае выполняются на разных компьютерах. Как правило, один сервер 
обслуживает большое число клиентов. 


Принципиальной разницей между клиентом и сервером является то, что инициатором выполнения 
сетевой службой некой работы всегда выступает клиент, а сервер всегда находится в режиме 
пассивного ожидания запросов. Например, почтовый сервер осуществляет доставку почты на 
компьютер пользователя только при поступлении запроса от почтового клиента. 


В отличие от локальных приложений, которые, работая на одном компьютере, могут об- 
мениваться данными через его оперативную память, части распределенного приложения, 
выполняемые на разных компьютерах, такой возможности не имеют. Взаимодействие 
клиента и сервера может выполняться только путем передачи сообщений через сеть в со- 
ответствии с выбранным протоколом. 


Основными вопросами разработки распределенных приложений являются, во-первых, рас- 
пределение функций между его звеньями (клиентом и сервером), а во-вторых, определение 
протокола взаимодействия этих звеньев. 


Распределение функций между клиентом и сервером сетевой службы может выполняться 
различными способами. Например, клиент может быть наделен только функциями под- 
держки интерфейса с пользователем сервиса и поддержанием протокола взаимодействия, 
а вся логика работы службы возложена на серверную часть. Возможна и другая ситуация, 
когда клиент несет значительную нагрузку на поддержание работы сетевой службы. На- 
пример, при реализации почтовой службы на диске клиента может храниться локальная 
копия базы данных, содержащей его обширную переписку. В этом случае клиент делает 
основную работу при формировании сообщений в различных форматах, в том числе 
и сложном мультимедийном, поддерживает ведение адресной книги и выполняет много 
иных вспомогательных функций. 


Протоколы обмена сообщениями, лежащие в основе сетевых служб, относятся к приклад- 
ному уровню. Службы, имеющие одно и то же назначение, могут использовать разные 
протоколы. К примеру, существуют сетевые файловые системы, построенные на основе 
принципиально отличающихся протоколов: ЕТР 5МВ, МЕЅ. Аналогично имеются два типа 
почтовой службы, в одной из них клиент и сервер взаимодействуют по протоколу ЗМТР 
ав другой — Х.400. Верно и обратное утверждение: службы, разработанные для предостав- 
ления разных сервисов, могут использовать один и тот же протокол взаимодействия кли- 
ентской и серверной частей. Например, протокол НТТР разработанный для веб-службы, 
стал использоваться во многих службах и сетевых приложениях, например, в службе 
управления сетью, почтовой службе и многих других. 


1 Распределенные приложения вообще и сетевые службы в частности могут иметь и многозвенную 
структуру. 
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Пользовательский интерфейс, который в наше время обычно является графическим 
(СгарћісаІ Оѕег Іпѓегѓасе, СОТ), — важная часть клиента сетевой службы. От качества ин- 
терфейса зависит удобство работы пользователя с данной реализацией службы (степень 
дружественности), он также отражает функциональное богатство службы. Заметим, раз- 
личные реализации службы одного и того же назначения, поддерживающие один и тот же 
прикладной протокол, могут значительно отличаться друг от друга функциональностью 
и дружественностью пользовательского интерфейса. Это хорошо видно на примере брау- 
зеров веб-службы — все они работают с одними и теми же веб-серверами и реализуют один 
и тот же протокол НТТР, но функциональность и дружественность браузера Сһготе отли- 
чается от функциональности и дружественности браузера Іпгегпеє Ехр]огег (хотя жесткая 
конкуренция между производителями браузеров заставляет их постоянно перенимать 
лучшие свойства продуктов конкурентов). 


Веб-служба 


Изобретение в 1989 году Тимом Бернерсом-Ли и Робертом Кайо Всемирной паутины 
(У\ог4 Мае \№еЬ, \У\МУУ) стоит в одном ряду с изобретениями телефона, радио и теле- 
видения. Благодаря этому изобретению Интернет стал таким, каким мы его знаем сегодня. 
Используя Всемирную паутину, люди получили возможность доступа к нужной им ин- 
формации в любое удобное для них время. Теперь проще найти интересующую вас статью 
в Интернете, чем в стопке журналов, хранящихся рядом в шкафу. Очень быстро исчезают 
многие традиционные приемы рациональной организации работы с информацией, заключа- 
ющиеся, например, в хранении полезной информации в записных книжках, раскладывании 
вырезок из журналов и газет в картонные папки с веревочками, упорядочивании документов 
в каталогах путем наклеивания на них маркеров с условными кодами, помогающими быстро 
отыскать нужный документ, и т. д. Этим приемам приходят на смену новые безбумажные 
технологии Интернета, среди которых важнейшей является сетевая служба \У\МУ\ (или, 
по-другому, веб-служба). Заметим, что веб-служба не только предоставляет любому чело- 
веку возможность быстрого поиска нужных данных и доступа к ним, но и позволяет ему 
выносить на многомиллионную аудиторию пользователей Интернета собственную инфор- 
мацию — мнения, художественные и публицистические произведения, результаты научной 
работы, объявления и т. д. Причем он может это делать без особых организационных забот 
и практически бесплатно. Не будем долго останавливаться на описании всех возможностей 
этой службы, учитывая, что для большинства из нас регулярный просмотр веб-сайтов стал 
не просто обыденностью, а необходимым элементом жизненного уклада. 


Веб- и НТМЕ-страницы 


Миллионы компьютеров, связанных через Интернет, хранят невообразимо огромные объ- 
емы информации, представленной в виде веб-страниц. 


Веб-страница, или веб-документ, как правило, состоит из основного НТМ!-файла и некоторого 
количества ссылок на другие объекты разного типа: ЈРЕС- и СОІҒ-изображения, другие НТМ(- 
файлы, аудио- и видеофайлы. 
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НТМЕ-файлом, НТМЕ-страницей или гипертекстовой страницей называют файл, который 
содержит текст, написанный на языке НТМЕ (НурегТеж Магкир Гапдиаде — язык разметки ги- 
пертекста). 


История появления языка НТМІ. связана с попытками программистов разработать 
средство, позволяющее программным путем создавать красиво сверстанные страницы 
для просмотра на экране. Другими словами, красивая картинка появляется на дисплее 
только в результате ее интерпретации специальной программой, а в исходном виде она 
представляет собой однообразный текст с множеством служебных пометок. Вместо при- 
менения различных приемов форматирования, таких как выделение заголовков крупным 
шрифтом, важных выводов — курсивным или полужирным начертанием и пр., создатель 
документа на языках этого типа просто вставляет в текст соответствующие указания о том, 
что данная часть текста должна быть выведена на экран в том или ином виде. Служебные 
пометки такого рода в исходном тексте выглядят, например, как <6> </Ъ> (начать и за- 
кончить вывод текста полужирным начертанием) и называются тегами. Язык НТМЕ не 
является первым языком разметки текста — его предшественники существовали задолго 
до появления веб-службы. Например, в первых версиях ОС (Опіх существовал язык {гой 
(с помощью этого языка отформатированы страницы электронной документации Отих, 
известные как тап-страницы). 


В язык НТМГ. включены разные типы тегов, команд и параметров, в том числе для вставки 
в текст изображений (тег <іте ѕгс=’..’). Чтобы НТМГ-страница выглядела так, как задумал 
программист, она должна быть выведена на экран специальной программой, способной 
интерпретировать язык НТМІ.. Такой программой является уже упоминавшийся веб- 
браузер!. 

Существует также особый тип тега, имеющий вид ‹а һге#=»...» ...‹/а> и называемый гипер- 
ссылкой. Гиперссылка содержит информацию о веб-странице или объекте, который может 
находиться как на том же компьютере, так и на других компьютерах Интернета. Отличие 
гиперссылки от других тегов состоит в том, что элемент, описываемый ею, не появляется 
автоматически на экране. Вместо этого на месте тега (гиперссылки) на экран выводится не- 
которое условное изображение или особым образом выделенный текст — имя гиперссылки. 
Чтобы получить доступ к объекту, на который указывает эта гиперссылка, пользователь 
должен «щелкнуть» на ней, дав тем самым команду браузеру найти и вывести на экран 
требуемую страницу или объект. После того как новая веб-страница будет загружена, 
пользователь сможет перейти по следующей гиперссылке — такой «веб-серфинг» может 
продолжаться теоретически сколь угодно долго. Все это время веб-браузер будет находить 
указанные в гиперссылках страницы, интерпретировать все размещенные на них указания 
и выводить информацию на экран в том виде, в котором ее спроектировали разработчики 
этих страниц. 


ОВАЕ-адрес 


Браузер находит веб-страницы и отдельные объекты по адресам специального формата, 
называемым ОВГ., (Опогт Кеѕоџгсе Г.осабог — унифицированный указатель ресурса). 


1 См. раздел «Сетевое программное обеспечение» главы 2. 
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ОВГ-адрес может выглядеть, например, так: Һр: //ммм.оЇіѓег.со.ик/боокѕ/боокѕ.һіт. В О ВТ- 
адресе можно выделить три части: 


О Тип протокола доступа. Помимо НТТР, здесь могут быть указаны и другие протоколы, 
такие как ЕТР, ќе[пеѓ, также позволяющие осуществлять удаленный доступ к файлам 
или компьютерам!. Тем не менее основным протоколом доступа к веб-страницам явля- 
ется НТТР (как в нашем примере), и мы поговорим о нем немного позже. 


О р№5-имя сервера. Это имя сервера, на котором хранится нужная страница. В нашем 
случае — это имя сайта млм. оШег.со.иК. 


О Путь к объекту. Обычно это составное имя файла (объекта) относительно главного 
каталога веб-сервера, предлагаемого по умолчанию. В нашем случае главным каталогом 


является /Боок$/боок$.НМт. По расширению файла мы можем сделать вывод о том, что 
это НТМГ-файл. 


Веб-клиент и веб-сервер 


Как отмечено, сетевая веб-служба представляет собой распределенную программу, по- 
строенную в архитектуре клиент-сервер. Клиент и сервер веб-службы взаимодействуют 
друг с другом по протоколу НТТР. 


Клиентская часть веб-службы, или веб-клиент, называемый также браузером, представляет ` 
собой приложение, которое устанавливается на компьютере конечного пользователя и предна- 
значено для просмотра веб-страниц. 


Одной из важных функций браузера является поддержание графического пользовательского 
интерфейса. Через интерфейс пользователь получает доступ к широкому набору услуг, 
главная из которых, конечно, «веб-серфинг», включающий поиск и просмотр страниц, 
навигацию между уже просмотренными страницами, переход по закладкам и хранение 
истории посещений. Помимо средств просмотра и навигации, веб-браузер предоставля- 
ет пользователю возможность манипулирования страницами: сохранение их в файле на 
диске своего компьютера, вывод на печать, передача по электронной почте, контекстный 
поиск в пределах страницы, изменение кодировки и формата текста, а также множество 
других функций, связанных с представлением информации на экране и настройкой само- 
го браузера. 

К числу наиболее популярных сейчас браузеров можно отнести Мисгозой Іпѓегпеё ЕхріІогег, 
Мо Ша Еігеѓіох компании Мо7Ша, Соозе Сһготе и Арр Ѕаѓагі. Но веб-браузер — это не 
единственный вид клиента, который может обращаться к веб-серверу. Эту роль могут ис- 
полнять любые программы и устройства, поддерживающие протокол НТТР. Значительную 
часть своих функций браузер выполняет в тесной кооперации с веб-сервером. Как уже 
отмечалось, клиент и сервер веб-службы связываются через сеть по протоколу НТТР. 
Это означает, что в клиентской части веб-службы присутствует клиентская часть НТТР 
а в серверной — серверная часть НТТР. 


і ОВГ-адреса с самого начала предназначались не только для веб-служб, но и для других сервисов 
доступа к информации через Интернет. 
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Веб-сервер — это программа, хранящая объекты локально в каталогах компьютера, на котором 
она запущена, и обеспечивающая доступ к этим объектам по ОВІ-адресам. Наиболее популяр- 
ными веб-серверами сейчас являются Араспе и Місгоѕої Іпїегпеї Іпїоггтаійоп Зегуег. 


Как и любой другой сервер, веб-сервер должен быть постоянно в активном состоянии, 
прослушивая ТСР-порт 80, являющийся назначенным портом протокола НТТР. С полу- 
чением запроса от клиента сервер устанавливает ТСР-соединение и получает от клиента 
имя объекта, например, в виде /роокѕ/боокѕ.ћїт, после чего находит в своем каталоге этот 
файл, а также другие связанные с ним объекты, и отсылает их по ТСР-соединению кли- 
енту. Получив объекты от сервера, веб-браузер отображает их на экране (рис. 24.1). После 
отправки всех объектов страницы клиенту сервер разрывает с ним ТСР-соединение. В до- 
полнительные функции сервера входят также аутентификация клиента и проверка прав 
доступа данного клиента к данной странице. 


Корневой каталог НТТР 
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Рис. 24.1. Вывод веб-страницы на экран 


Веб-сервер в отношении сеанса с веб-браузером является сервером без сохранения состоя- 
ния (5ѕ(аѓе]еѕѕ). Это означает, что на сервере не хранится информация, касающаяся состоя- 
ния сеанса: какие страницы пользователь уже посетил и какие данные ему были переданы. 
Такой режим общения с клиентом упрощает организацию сервера, которому необходимо 
отвечать на большой поток запросов различных пользователей, так что запоминание со- 
стояния сеансов пользователей существенно увеличило бы нагрузку на веб-сервер. Вместо 
этого веб-сервер рассматривает каждый запрос изолированно, отвечая на него и забывая 
про данного пользователя сразу после ответа. Кроме упрощения организации сервера, 
такой режим работы является более устойчивым, так как он не требует восстановления 
сеанса, если по той или иной причине он потерпел крах, оставляя пользователю заботы 
по решению этой проблемы. Недостатком данного режима является замедление работы 
клиента и увеличение трафика в сети из-за частого выполнения процедуры установления 
ТСР-соединений. 
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Для повышения производительности некоторые веб-серверы прибегают к кэшированию 
наиболее часто используемых в последнее время страниц в своей памяти. Когда приходит 
запрос на какую-либо страницу, сервер, прежде чем считывать ее с диска, проверяет, не 
находится ли она в буферах более «быстрой» оперативной памяти. Кэширование страниц 
осуществляется и на стороне клиента, а также на промежуточных серверах (прокси-сер- 
верах). Кроме того, эффективность обмена данными с клиентом иногда повышают путем 
компрессии (сжатия) передаваемых страниц. Объем передаваемой информации уменьша- 
ют также за счет того, что клиенту передается не весь документ, а только та часть, которая 
была изменена. Все эти приемы повышения производительности веб-службы реализуются 
средствами протокола НТТР. 


Протокол НТТР 


НТТР (НурегТех Тгапѕѓег Ргоѓосо! — протокол передачи гипертекста) — это протокол при- 
кладного уровня, во многом аналогичный протоколам ЕТР и $МТР. Существует несколько 
версий этого протокола: НТТР 1.0, НТТР 1.1, НТТР/2 и НТТР/З. 


Обмен сообщениями идет по обычной схеме «запрос-ответ». Клиент и сервер обменива- 
ются текстовыми сообщениями стандартного формата, то есть каждое сообщение пред- 
ставляет собой несколько строк обычного текста в кодировке АЗСИ. Для транспортировки 
НТТР-сообщений служит протокол ТСР. При этом ТСР-соединения могут использоваться 
двумя разными способами: 


С Долговременное соединение — передача в одном ТСР-соединении нескольких объектов, 
причем время существования соединения определяется при конфигурировании веб- 
службы. 


О Кратковременное соединение — передача в рамках одного ТСР-соединения только 
одного объекта. 


Долговременное соединение, в свою очередь, может быть использовано двумя способами: 


О Последовательная передача запросов с простоями — это способ, посредством которого 
новый запрос посылается только после получения ответа. 


О Конвейерная передача — это более эффективный способ, в котором следующий за- 
прос посылается до прибытия ответа на один или несколько предыдущих запросов 
(напоминает метод скользящего окна). Обычно по умолчанию степень параллелизма 
устанавливается на уровне 5-10, но у пользователя имеется возможность изменять этот 
параметр при конфигурировании клиента. 


В версии НТТР 1.0 поддерживается только режим кратковременных соединений, когда 
после передачи одного запроса и получения ответа ТСР-соединение закрывается. Такой 
режим полностью соответствует концепции сервера без сохранения состояния, а это, как 
уже отмечалось, приводит к замедлению работы браузера и увеличению трафика из-за 
частого выполнения процедуры трехэтапного установления ТСР-соединения. 


В версии НТТР 1.1 по умолчанию применяются постоянные соединения и конвейерный 
режим. Соединение разрывается по инициативе либо браузера, либо сервера за счет от- 
правки специального токена разрыва соединения в НТТР-пакете. Веб-сервер обычно 
использует таймер неактивности пользователя для того, чтобы разорвать соединение по 
тайм-ауту и не тратить ресурсы памяти на неактивные соединения. 
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Версия НТТР/2 ускорила процесс построения веб-браузером веб-страницы, сохранив 
в целом синтаксис и семантику сообщений версий НТТР 1.0 и 1.1. Ускорение достигается 
за счет нескольких усовершенствований механизма передачи запросов и ответов между 
веб-браузером и веб-сервером: 

О вместо использования отдельных ТСР-соединений для передачи каждого запроса и от- 
вета, приводившего к простоям из-за того, что новый запрос не может быть послан без 
получения ответа, теперь используется одно ТСР-соединение для мультиплексирова- 
ния нескольких запросов, которые могут быть посланы практически одновременно; 


О приоритезация запросов к веб-серверу, благодаря которой сервер знает, какой запрос 
более важен веб-браузеру для построения страницы; 


О введение режима Ѕегуег Риѕһ, при котором веб-сервер может передать веб-браузеру не 
только запрашиваемые ресурсы, но и те, которые, по мнению веб-сервера, скоро пона- 
добятся веб-браузеру; 


О компрессия заголовков сообщений НТТР значительно сокращающая длину сообщения 
за счет компрессии таких потенциально длинных полей, как куки. 


Новая версия НТТР/З (не стандартизованная на момент написания книги) должна прий- 
ти на смену НТТР/2, заменив протокол ТСР на новый протокол ООІС, являющийся 
транспортным протоколом, работающим поверх ОРЮР и более быстро, чем ТСР, устанав- 
ливающая соединения и обрабатывающая потерю и искажения данных. Протокол ОТС 
первоначально был разработан компанией Соо#е и уже применяется в браузере СЬготе 
этой компании. 


Формат НТТР-сообщений 


В протоколе НТТР все сообщения состоят из текстовых строк. НТТР-сообщения бывают 
двух типов — запросы и ответы, — имеющих единую обобщенную структуру, состоящую 
из трех частей: обязательной стартовой строки, а также необязательных заголовков и тела 
сообщения. В табл. 24.1 приведены форматы и примеры стартовых строк и заголовков для 
запросов и ответов. 


Как видно из таблицы, запросы и ответы имеют разные форматы стартовой строки. Каждая 
из них состоит из трех элементов, включающих поле версии протокола НТТР. И в запросе, 
и в ответе примера указана версия НТТР 1.1. Стартовая строка запроса включает в себя 
поле метода — это название операции, которая должна быть выполнена. Чаще всего в за- 
просах используется метод СЕТ, то есть запрос объекта (именно он включен в наш пример 
запроса). Еще одним элементом стартовой строки является ОКІ -адрес запрашиваемого 
объекта — здесь это имя файла /роокѕ/роокѕ.ћїт. 


Помимо метода СЕТ в запросах протокол предусматривает и другие методы, такие как 
НЕАО, РОЅТ, РОТ, РЕГЕТЕ и некоторые другие. 


Метод НЕАР аналогичен методу СЕТ, но запрашиваются только метаданные заголовка 
НТМІ-страницы. 


Метод РОЅТ используется клиентом для отправки данных на сервер: сообщений электрон- 
ной почты, ключевых слов в запросе поиска, веб-формы. 


Метод РОТ используется клиентом для размещения некоторого объекта на сервере, на 
который указывает ОКІ-адрес. 
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Таблица 24.1. Форматы стартовых строк и заголовков 


Обобщенная структура | НТТР-запрос НТТР-ответ 
сообщения 


Стартовая строка (всег- | Формат запроса Метод/ ОКІ. Формат ответа: НТТР/1.х 

да должна быть первой | НТТР/1.х. Пример: СЕТ /Боок$/Боок$. | КодСостояния Фраза. Пример: 
строкой сообщения; Вет НТТР/1.1 НТТР/1.1 200 ОК 
обязательный элемент) 


Заголовки (следуют Заголовок о О№5-имени компьютера, Заголовок о времени отправления 
в произвольном поряд- | на котором расположен веб-сервер. данного ответа. Пример: Оа(е: 1 
ке; могут отсутствовать) | Пример: Ноѕі: млм. оШег.со.аК Јап 2009 14:00:30 


Заголовок об используемом браузере. | Заголовок об используемом 
Пример: Оѕег-арепі: Мо2111а/5.0 веб-сервере. Пример: Ѕегуег: 
Арасће/1.3.0 (Опіх) 


Заголовок о предпочтительном языке. | Заголовок о количестве бай- 
Пример: Ассер\-|апрцаре: ги тов в теле сообщения. Пример: 
Сопѓепї-епеѓћ: 1234 


Заголовок о режиме соединения. При- | Заголовок о режиме соединения. 
мер: Соппесйоп: сІоѕе Пример: Соппесііоп: с]0$е 


Пустая строка 


Тело сообщения (может | Здесь могут быть расположены ключе- | Здесь может быть расположен 
отсутствовать) вые слова для поисковой машины или | текст запрашиваемой страницы 
страницы для передачи на сервер 


Метод РЕГЕТЕ указывает серверу на то, что некоторый объект на сервере, определяемый 
ОВГ-адресом, необходимо удалить. 


Методы СЕТ и НЕАР” считаются безопасными! для сервера, так как они только передают 
информацию клиенту, а методы РОЅТ, РОТ и ОЕТЕТЕ — опасными, поскольку передают 
информацию на сервер. Наибольшую угрозу представляют два последних метода, так как 
они непосредственно указывают на объект на сервере. Используя эти методы, злоумыш- 
ленник может атаковать сервер, заменяя или удаляя некоторые его объекты. 


В стартовой строке ответа, помимо уже упоминавшегося указания на версию протоко- 
ла НТТР имеется поле кода состояния и поле фразы для короткого текстового сообщения, 
поясняющего данный код пользователю. В настоящее время стандарты определяют пять 
классов кодов состояния: 


О 1хх — информация о процессе передачи; 


О 2хх — информация об успешном принятии и обработке запроса клиента (в таблице 
в примере стартовой строки ответа приведен код и соответствующая фраза 200 ОК, со- 
общающий клиенту, что его запрос успешно обработан); 


О Зах — информация о том, что для успешного выполнения операции нужно произвести 
следующий запрос по другому Ч ВГ-адресу, указанному в дополнительном заголовке 
Госа*1оп; 


1 Вопросы безопасности веб-службы подробно обсуждаются в главе 30. 
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О 4хх — информация об ошибках со стороны клиента (читатель наверняка не раз стал- 
кивался с ситуацией, когда при указании адреса несуществующей страницы браузер 
выводил на экран сообщение 404 № + Еоипа); 


О 5лх — информация о неуспешном выполнении операции по вине сервера (например, 
сообщение 505 һер Мегѕіоп № 1+ Ѕиррог+еай говорит о том, что сервер не поддерживает 
версию НТТР, предложенную клиентом). 


Среди кодов состояния имеется код 401, сопровождаемый сообщением аиёһогіғаёіоп 
геаиігеа. Если клиент получает такое сообщение в ответ на попытку доступа к странице 
или объекту, это означает, что доступ к данному ресурсу ограничен и требует авторизации 
пользователя. Помимо поясняющей фразы сервер помещает в свой ответ дополнительный 
заголовок ммм -Аиёһепёісаќе: <... >, который сообщает клиенту, какую информацию он 
должен направить серверу для того, чтобы процедура авторизации могла быть выпол- 
нена. Обычно это имя и пароль. Веб-клиент с момента получения такого ответа сервера 
начинает добавлять во все свои запросы к ресурсам данного сервера дополнительный за- 
головок Аиёһогіға+іоп: ‹имя, пароль», который содержит информацию, необходимую для 
авторизации доступа, 


Динамические веб-страницы 


До сих пор мы подразумевали, что содержание страницы не изменяется в зависимости 
от действий пользователя. Когда пользователь щелкает на гиперссылке, он переходит 
на новую страницу, а если выполняет команду возвращения обратно, то на экране снова 
появляется предыдущая страница в неизменном виде. Такие страницы называются ста- 
тическими. 


Однако в некоторых случаях желательно, чтобы содержание страницы изменялось в за- 
ВИСИМОСТИ ОТ действий пользователя, например, при наведении указателя мыши на опреде- 
ленную область страницы там появлялся рисунок вместо текста или значка. Динамическое 
воспроизведение состояния базы данных также является типичным примером ситуации, 
когда статическая страница не может решить задачу. Так, многие интернет-магазины под- 
держивают базу данных продаваемых товаров, а вывод количества оставшихся в наличии 
товаров требует динамического обновления соответствующего поля веб-страницы. 


Веб-страницы, которые могут генерировать выводимое на экран содержание, меняющееся 
в зависимости от некоторых внешних условий, называются динамическими. Динамика 
страницы достигается путем ее программирования, обычно с использованием программных 
языков сценариев: Рег, РНР и ЈауаЅсгірё. Различают два класса программ, предназначен- 
ных для создания динамического содержания веб-страниц: 


О программы, работающие на стороне клиента (то есть на том компьютере, где запущен 
веб-браузер, воспроизводящий страницу на экране); 


О программы, работающие на стороне сервера. 


Если программа работает на стороне клиента, то код страницы передается веб-сервером 
веб-браузеру как обычный статический объект, а затем браузер выполняет этот код, с его 
помощью создает динамическое содержание страницы и выводит ее на экран. Существуют 
различные механизмы создания динамических страниц на стороне клиента — это прежде 
всего надстройки браузера, ]ауа-апплеты, ЈауаЅсгірі-сценарии и АсііуеХ-элементы. 
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Механизм надстроек браузера (а44-оп) позволяет расширить его функциональные воз- 
можности за счет динамического вызова из браузера дополнительных программ, уста- 
новленных на клиентском компьютере. Программа-надстройка обрабатывает объекты 
веб-страницы определенного типа, например, программа-надстройка АдоБе АсгоБаѓ МРАРІ 
РІиріп вызывается браузером Еігеѓох для показа пользователю документа в формате РОЕ 
в окне браузера, а программа-надстройка Ѕһоскуауе Е1аѕћ вызывается для проигрывания 
видеоклипов в формате Еаѕһ или для интерактивной анимации, написанной на языке 
АспопЅсгірі. Нужно отметить, что термин «надстройка» считается обобщенным назва- 
нием разных видов надстроек браузера — например, браузера Еігеѓох, который различает 
несколько видов надстроек: 


Ш расширения (ехїепѕіопѕ) встраиваются в браузер (то есть становятся его частью); 
О темы изменяют внешний вид окна браузера и также встраиваются в него; 


О вставки (ріив-1пѕ) — это программы, оформленные чаще всего в виде библиотек и вы- 
зываемые через стандартный для браузера интерфейс, такой как, например, МРАРІ 
(Мегзсаре РІџріп АррИсайоп Ргоргаттіпе Іпѓќегѓасе). Вставки являются внешними по 
отношению к браузеру программами. 


Јауа-апплеты представляют собой скомпилированные программы, которые написаны на 
языке Јауа, динамически загружаются браузером с веб-сервера и выполняются виртуаль- 
ной Јауа-машиной (ЈУМ) клиентского компьютера. Передача Јауа-апплета Јауа-машине 
выполняется вставкой Јауа АрріІеѓ Ршеш. 


Динамическое содержание страницы может также создаваться с помощью Јауаёсгірі- 
сценариев — специальных программ (скриптов) на языке Јауа$Ѕсгірѓ, разработанном ком- 
панией М№еѓѕсаре. Јауа$Ѕсгірі, хотя и имеет общую часть в названии с языком ]ауа, является 
самостоятельным языком со своим синтаксисом. В отличие от Јауа — языка компилиру- 
ющего типа — ЈауаЅсгірё является языком интерпретирующего типа, интерпретатором 
которого выступает браузер. 


Динамическое содержание страницы может быть также создано предложенными компа- 
нией М!сгозой управляющими АсйуеХ-элементами, которые могут вызывать внешние 
объекты и встраивать результаты их работы в страницу. АсиуеХ-элементы являются двоич- 
ными исполняемыми файлами, которые должны иметь цифровую подпись. Ограничением 
АсііуеХ -элементов является то, что их выполнение возможно только в среде ОС Міпаомѕ 
на процессоре [ше] х86 или же при их эмуляции. На практике это означает, что страницы 
с АсбіуеХ -элементами правильно воспроизводятся только браузером Іпѓегпеѓ ЕхріІогег. 


При программировании содержания страницы на стороне сервера процесс выглядит 
немного сложнее, так как программный код страницы создает содержание (контент) на 
сервере, следовательно, здесь нужен дополнительный этап — передача этого содержания 
по протоколу НТТР на клиентскую машину браузеру. Популярными языками сценариев 
для серверной части являются Ре!|, АЗР ЈЅР и РНР. Существует также стандартный про- 
граммный интерфейс между веб-сервером и программами, генерирующими динамическое 
содержание, — это общий шлюзовой интерфейс (Соттоп Саѓеуау ПцегЁасе, ССІ). 


Многие из перечисленных выше средств расширения функциональных возможностей бра- 
узера являются слабыми звеньями в обеспечении безопасности клиентского компьютера, 
на котором они работают (см. главу 30). Более безопасно использование средств создания 
динамического содержания за счет функций языка НТМТ.5, в котором имеются специ- 
альные теги для проигрывания аудио- и видеоклипов. 
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Почтовая служба 


Сетевая почтовая служба, или электронная почта, — это распределенное приложение, глав- 
ной функцией которого является предоставление пользователям сети возможности обмениваться 
электронными сообщениями. 


Как и все сетевые службы, электронная почта построена в архитектуре клиент-сервер. По- 
чтовый клиент всегда располагается на компьютере пользователя, а почтовый сервер, как 
правило, работает на выделенном компьютере. 


Почтовый клиент (называемый также агентом пользователя) — это программа, предназна- 
ченная для поддержания пользовательского интерфейса (обычно графического), а также 
для предоставления пользователю широкого набора услуг по подготовке электронных 
сообщений. В число таких услуг входит создание текста в различных форматах и кодиров- 
ках, сохранение, уничтожение, переадресация, сортировка писем по разным критериям, 
просмотр перечня поступивших и отправленных писем, грамматическая и синтаксическая 
проверка текста сообщений, ведение адресных баз данных, автоответы, образование групп 
рассылки и прочее, и прочее. Кроме того, почтовый клиент поддерживает взаимодействие 
с серверной частью почтовой службы. 


Почтовый сервер выполняет прием сообщений от клиентов, для чего постоянно нахо- 
дится в активном состоянии. Кроме того, он выполняет буферизацию сообщений, рас- 
пределение поступивших сообщений по индивидуальным буферам (почтовым ящикам) 
клиентов, управляет объемами памяти, выделяемой клиентам, выполняет регистрацию 
клиентов и регламентирует их права доступа к сообщениям, а также решает много других 
задач. 


Электронные сообщения 


Почтовая служба оперирует электронными сообщениями — информационными струк- 
турами определенного стандартного формата. Упрощенно электронное сообщение может 
быть представлено в виде двух частей, одна из которых (заголовок) содержит вспомога- 
тельную информацию для почтовой службы, а другая (тело сообщения) — это собственно 


то «письмо», которое предназначается для прочтения, прослушивания или просмотра 
адресатом (КЕС 822). 


Главными элементами заголовка являются адреса отправителя и получателя в виде Ро!па@ 
дотеп.сот, где Рота — идентификатор пользователя почтовой службы, а Чотеп.сот — имя 
домена, к которому относится этот пользователь. Кроме этого, почтовая служба включает 
в заголовок дату и тему письма, делает отметки о применении шифрования, срочности до- 
ставки, необходимости подтверждения факта прочтения этого сообщения адресатом и др. 
Дополнительная информация заголовка может оповещать почтового клиента получателя 
об использовании той или иной кодировки. При транспортировке через Интернет почтовое 
сообщение помещается в конверт (епуе]оре), который также имеет несколько служебных 
полей, например поле отправителя и поля получателей (рис. 24.2). Информация конверта 
используется только при транспортировке почтового сообщения, а информация заголовка 
сообщения — почтовым клиентом получателя. 
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Конверт 


Адресат1; Адресат2 


Отправитель 


Адресат1; Адресат2 
р" 


| Тело сообщения 


Сообщение 


Рис. 24.2. Конверт и сообщение электронной почты Интернета 


Первоначально тело сообщения представляло собой сплошной текст в кодировке АЗСП 
(такая же кодировка использовалась для служебных полей конверта и заголовка сообще- 
НИЯ). 


Большая популярность электронной почты привела к ее интернационализации, что заста- 
вило принять несколько новых стандартов, разрешающих применять в теле сообщения не 
только АЗСП-коды, но и такие коды, как ОТЕ-8, позволяющие пользователям всех стран 
задействовать свой родной язык при написании электронного письма. Ограничение на 
использование АЅСП осталось только для полей конверта, и это ограничение приходится 
преодолевать несколько искусственным способом, преобразуя исходные символы, не отно- 
сящиеся к кодировке АЗСП, в более длинную последовательность АЗСП-кодов (например, 
используя популярный в системах электронной почты алгоритм Базеб4). 


Важную роль в расширении возможности электронной почты по передаче мультимедийной 
информации сыграл стандарт ММЕ (Миригрозе Пиегпеё Маі Ежеп$10оп$ — многоцеле- 
вые расширения почты Интернета). Этот стандарт описывает структуру сообщения, со- 
стоящего из нескольких частей, каждая из которых имеет свои заголовок и тело. Заголовок 
описывает тип данных, которые содержатся в теле; это могут быть как обычные текстовые 
данные в формате АЗСП, так и данные другого типа, например: 


О текст в 8-битном формате (такая возможность описана в документе ВЕС 6152, при- 
нятом в марте 2011 года); 


О текст не в формате АЅСП, преобразованный в АЅСІІ-код (например, с помощью уже 
упомянутого алгоритма Баѕе64); 


гипертекст (НТМІ); 
изображение; 


видеоклип; 


о ооо 


звуковой файл. 
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Части отделяются друг от друга последовательностью символов, называемой границей 
(Боип4агу); граница не должна встречаться в теле частей сообщения. 


В заголовке каждой части сообщения имеется также информация о том, каким образом по- 
чтовый клиент должен обрабатывать тело части — отображать ее немедленно при открытии 
сообщения (например, встраивая изображение в текст) или считать это тело вложением 
(аКасЬтепе), которое пользователь будет обрабатывать сам. Одна из спецификаций стан- 
дарта ММЕ (каждая спецификация МІМЕ описывает одно или несколько расширений 
оригинальной спецификации КЕС 822), а именно — КЕС 1847, относится к расширениям 
безопасности, поэтому этот документ называют спецификацией $/МИМЕ (5еситиу М МЕ). 
В 5/МІМЕ описаны два новых типа частей МІМЕ: 


О цифровая подпись (Мийраг(/$12пе4); 
О шифрованное тело (МиШраг/Епсгуреа). 


Эти два типа частей сообщения могут использоваться вместе с целью обеспечения аутен- 
тичности, целостности и конфиденциальности электронного письма. 


Протокол $МТР 


В качестве средств передачи сообщения почтовая служба Интернета использует стандарт- 
ный, разработанный специально для почтовых систем протокол ЗМТР (5тр/е Май Тӯапѕјег 
Ргоосо! — простой протокол передачи почты). Этот протокол является одним из первых 
стандартизованных протоколов прикладного уровня, дата его публикации — август 1982 
года. Как и большинство других протоколов прикладного уровня, ЗМТР реализуется не- 
симметричными взаимодействующими частями: 5МТР-клиентом, работающим на стороне 
отправителя, и $МТР-сервером, работающим на стороне получателя. ЗМТР-сервер дол- 
жен постоянно быть в режиме подключения, ожидая запросов со стороны $МТР-клиента. 
Логика протокола 5МТР является действительно достаточно простой, как это и следует 
из его названия: 


1. После того как, применяя графический интерфейс своего почтового клиента, поль- 
зователь щелкает на значке отправки сообщения, ЗМТР-клиент посылает запрос на 
установление ТСР-соединения на порт 25 5МТР-сервера (это назначенный порт). 


2. Если сервер готов, то он посылает свои идентификационные данные, в частности свое 
О№-имя. Если 5МТР-сервер оказался не готов, то он посылает соответствующее со- 
общение клиенту, и тот снова посылает запрос, пытаясь заново установить соединение. 
Затем клиент передает серверу почтовые адреса (имена) отправителя и получателя. 
Если имя получателя соответствует ожидаемому, то после получения адресов сервер 
дает согласие на установление 5МТР-соединения, и в рамках этого логического канала 
происходит передача сообщения. 


3. Если после приема тела сообщения сервер отвечает командой ОК, это означает, что 
сервер принял на себя ответственность по дальнейшей передаче сообщения получа- 
телю. Однако это не означает, что сервер гарантирует успешную доставку, потому что 
последнее зависит не только от него: например, клиентская машина получателя может 
быть в течение длительного времени не подсоединена к Интернету. Если сервер не 
может доставить сообщение, то он передает отчет об ошибке отправителю сообщения 
и разрывает соединение. 
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Используя одно ТСР-соединение, клиент может передать несколько сообщений, предваряя 
каждое из них указанием почтовых адресов отправителя и получателя. После завершения 
передачи сообщения ТСР- и $МТР-соединения разрываются, и благополучно переданное 
сообщение сохраняется в буфере на сервере. 


Нужно отметить, что в протоколе 5МТР предусмотрены как положительные, так и от- 
рицательные уведомления о доставке (промежуточной или окончательной) электронного 
письма. Однако только отрицательные уведомления являются обязательными, поэтому 
обычно $МТР-серверы предпочитают не передавать положительные уведомления в на- 
правлении отправителя. 


ПРИМЕЧАНИЕ 


Хотя в любом протоколе предполагается обмен данными между взаимодействующими частями, 
то есть данные передаются в обе стороны, различают протоколы, ориентированные на передачу 
(риѕћ ргоѓосо1$), и протоколы, ориентированные на прием данных (ри ргоќосо!5). В протоколах, 
ориентированных на передачу, к которым, в частности, относится протокол $МТР, клиент является 
инициатором передачи данных на сервер, а в протоколах, ориентированных на прием, к которым 
относятся, например, протоколы НТТР, РОРЗ и МАР, клиент является инициатором получения 
данных от сервера. 


Непосредственное взаимодействие клиента 

и сервера 

Обсудив основные составляющие почтовой службы, рассмотрим несколько основных 
схем ее организации. Начнем с простейшего, практически не используемого сейчас 


варианта, когда отправитель непосредственно взаимодействует с получателем. Как по- 
казано на рис. 24.3, у каждого пользователя на компьютере установлены почтовые клиент 


и сервер. 


Передача сообщения 
Полины Даниле 


Протокол ЗМТР 


Передача 
электронного 
сообщения 
Данилы Полине 


Буфер 
для хранения 
сообщений 


[1] 


Почтовый 
сервер 


Почтовый 
сервер 


Почтовый 
клиент 


Почтовый 
клиент 


Ш | 
а 


Данила Полина 


Рис. 24.3. Схема непосредственного взаимодействия клиента и сервера 
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Данила, используя графический интерфейс своего почтового клиента, вызывает функцию 
создания сообщения, в результате чего на экране появляется стандартная незаполненная 
форма сообщения, в поля которой Данила вписывает свой адрес, адрес Полины и тему 
письма, а затем набирает текст письма. При этом он может пользоваться не только встро- 
енным в почтовую программу текстовым редактором, но и привлекать для этой цели другие 
программы, например М$ Мога. Когда письмо готово, Данила вызывает функцию отправки 
сообщения, и встроенный $МТР-клиент посылает запрос на установление связи ЗМТР- 
серверу на компьютере Полины. В результате устанавливаются 5МТР- и ТСР-соединения, 
после чего сообщение передается через сеть. Почтовый сервер Полины сохраняет письмо 
в памяти ее компьютера, а почтовый клиент по команде Полины выводит его на экран, 
при необходимости выполняя преобразование формата. Полина может сохранить, пере- 
адресовать или удалить это письмо. Если Полина решит направить электронное сообщение 
Даниле, то схема работы почтовой службы будет симметричной. 


Схема с выделенным почтовым сервером 


Рассмотренная только что простейшая схема почтовой связи кажется работоспособной, 
однако у нее есть серьезный и очевидный дефект. Мы упоминали, что для обмена сообще- 
ниями необходимо, чтобы ЗМТР-сервер постоянно находился в ожидании запроса от 
ЅМТР-клиента, то есть для того, чтобы письма, направленные Полине, доходили до нее, 
ее компьютер должен постоянно находиться в режиме подключения. Понятно, что такое 
требование для большинства пользователей неприемлемо. Естественным решением этой 
проблемы является размещение $МТР-сервера на специально выделенном для этой цели 
компьютере-посреднике. Это должен быть достаточно мощный и надежный компьютер, 
способный круглосуточно передавать почтовые сообщения от многих отправителей ко 
многим получателям. Обычно почтовые серверы поддерживаются крупными организаци- 
ями для своих сотрудников или провайдерами для своих клиентов. Для каждого домена 
имен система ОМ создает записи типа МХ, хранящие О№$-имена почтовых серверов, 
обслуживающих пользователей, относящихся к этому домену. На рис. 24.4 представлена 
схема с выделенным почтовым сервером. Чтобы не усложнять рисунок, мы показали на 
нем только компоненты, участвующие в передаче сообщения от Данилы к Полине. Для 
обратного случая схема должна быть симметрично дополнена. 


1. Итак, пусть Данила решает послать письмо Полине, для чего он запускает на сво- 
ем компьютере установленную на нем программу почтового клиента (например, 
М1сгозой Ои оок или Мох Ша ТћипдегЬіга). Он пишет текст сообщения, указывает 
необходимую сопроводительную информацию, в частности адрес получателя ро!па@ 
ыт.сот, и щелкает мышью на значке отправки сообщения. Поскольку готовое со- 
общение должно быть направлено совершенно определенному почтовому серверу, 
клиент обращается к системе ОМ$, чтобы определить имя почтового сервера, обслу- 
живающего домен Полины Ыт.сот. Получив от ОМ№5 в качестве ответа имя таі!.біт. 
сот, $МТР-клиент еще раз обращается к ОМ№$ — на этот раз чтобы узнать ІР-адрес 
почтового сервера тай.Бит.сот. 


2. ЅМТР-клиент посылает по данному [Р-адресу запрос на установление ТСР-соединения 
через порт 25 (5МТР-сервер). 


3. С этого момента начинается диалог между клиентом и сервером по протоколу 5МТР, 
с которым мы уже знакомы. Заметим, что здесь, как и у всех протоколов, ориентиро- 
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ванных на передачу, направление передачи запроса от клиента на установление 5МТР- 
соединения совпадает с направлением передачи сообщения. Если сервер оказывается 
готовым, то после установления ТСР-соединения сообщение Данилы передается. 


4. Письмо сохраняется в буфере почтового сервера, а затем направляется в индивиду- 
альный буфер, отведенный системой для хранения корреспонденции Полины. Такого 
рода буферы называют почтовыми ящиками. Важно заметить, что, помимо Полины, 
у почтового сервера имеется и много других клиентов, что усложняет его работу. Таким 
образом, почтовый сервер должен решать самые разнообразные задачи по организации 
многопользовательского доступа, включая управление разделяемыми ресурсами и обе- 
спечение безопасного доступа. 


5. В какой-то момент, который принципиально не связан с моментом поступления со- 
общений на почтовый сервер, Полина запускает свою почтовую программу и выполняет 
команду проверки почты. После этой команды почтовый клиент должен запустить 
протокол доступа к почтовому серверу. Однако это не будет $МТР, Напомним, что 
протокол 5МТР используется тогда, когда необходимо передать данные на сервер, 
а Полине, напротив, нужно получить их с сервера. 


Для этого случая были разработаны другие протоколы, обобщенно называемые протокола- 
ми доступа к почтовому серверу, такие, например, как РОРЗ и ІМАР. Оба этих протокола 


Протокол ЗМТР Протокол 
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(3) Передача (РОРЗ, 
сообщения ІМАР) 


Почтовый 
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Рис. 24.4. Схема с выделенным почтовым сервером в принимающем домене 
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относятся к протоколам, ориентированным на прием данных. Инициатором передачи со- 
общений от почтового сервера почтовому клиенту по протоколу РОРЗ или [МАР является 
клиент. Почтовый сервер ожидает запрос на установление ТСР-соединения по протоколу 
РОРЗ через порт 110, а по протоколу МАР — через порт 143 (на рисунке эти порты обоб- 
щенно изображены как порт ТСР). В результате работы любого из них письмо Данилы 
оказывается в памяти компьютера Полины. Заметим, что на этот раз направление запроса 
от клиента к серверу не совпадает с направлением передачи данных, показанному стрелкой. 


Оба протокола — РОРЗ и [МАР — поддерживают передачу отправителю квитанций, под- 
тверждающих доставку, а также факт открытия сообщения получателем в случае, когда 
отправитель запрашивает такую почтовую услугу. Обычно для обеспечения приватности 
почтовый клиент не отправляет квитанцию автоматически, а спрашивает у получателя 
разрешение на такое действие. 


Схема с двумя почтовыми серверами- 
посредниками 


Прежде чем мы перейдем к сравнению двух протоколов доступа к почте, давайте рассмо- 
трим еще одну схему организации почтовой службы, наиболее приближенную к реаль- 
ности (рис. 24.5). Здесь передача сообщений между клиентами почты (на рисунке между 
отправителем Данилой и получателем Полиной) проходит через два промежуточных 
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Рис. 24.5. Схема с выделенными почтовыми серверами в каждом домене 
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почтовых сервера, каждый из которых обслуживает домен своего клиента. На каждом из 
этих серверов установлены и клиентские части протокола 5МТР. При отправке письма по- 
чтовый клиент Данилы передает сообщение по протоколу ЗМТР почтовому серверу доме- 
на, к которому относится Данила, — НРоуа!Май.таадега.сот. Это сообщение буферизуется на 
данном сервере, а затем по протоколу 5МТР передается дальше на почтовый сервер домена 
Полины — тай.біт.сот, откуда описанным уже образом попадает на компьютер Полины. 


Возникает вопрос, зачем нужна такая двухступенчатая передача через два почтовых сер- 
вера? Прежде всего для повышения надежности и гибкости процедуры доставки сообще- 
ния. Действительно, в схеме с передачей сообщения сразу на сервер получателя почтовый 
клиент отправителя в случае неисправности почтового сервера должен самостоятельно 
справляться со сложившейся нештатной ситуацией. Если же посредником в передаче со- 
общения является другой почтовый сервер, то это позволяет реализовывать разнообразные 
логические механизмы реакции на отказы на стороне сервера, который к тому же всегда 
находится в режиме подключения. Например, при невозможности передать письмо по- 
чтовому серверу получателя сервер отправляющей стороны может не только рапортовать 
об этом своему клиенту, но и предпринимать собственные действия — пытаться снова 
и снова послать письмо, повторяя эти попытки в течение достаточно длительного периода. 


Протоколы РОРЗ и ІМАР 


Теперь сравним два протокола доступа к почте: РОРЗ (Роѕѓ Ој /ісе Ргоюсо/ у.З — протокол 
почтового отделения версии 3) и ІМАР (Гете Маі! Ассеѕѕ Ргоѓосо! — протокол доступа 
к электронной почте Интернета). Оба протокола решают одну и ту же задачу — обеспе- 
чивают пользователей доступом к их корреспонденции, хранящейся на почтовом сервере. 
В связи с многопользовательским характером работы почтового сервера оба протокола 
поддерживают аутентификацию пользователей на основе идентификаторов и паролей 
пользователей. Однако протоколы РОРЗ и [МАР имеют и принципиальные различия, 
важнейшее из которых состоит в следующем. Получая доступ к почтовому серверу по 
протоколу РОРЗ, вы «перекачиваете» адресованные вам сообщения в память своего ком- 
пьютера, при этом на сервере не остается никакого следа от считанной вами почты. Если 
же доступ осуществляется по протоколу [МАР то в память вашего компьютера передаются 
только копии сообщений, хранящихся на почтовом сервере. 


Это различие серьезно влияет на характер работы с электронной почтой. Сейчас очень 
распространенной является ситуация, когда человек в течение одного и того же периода 
времени использует несколько разных компьютеров: на постоянном месте работы, дома, 
в командировке. Теперь давайте представим, что произойдет с корреспонденцией пользова- 
теля Полины, если она получает доступ к почте по протоколу РОРЗ. Письма, прочитанные 
на работе, останутся в памяти ее рабочего компьютера. Придя домой, она уже не сможет 
прочитать их снова. Опросив почту дома, она получит все сообщения, которые поступили 
с момента последнего обращения к почтовому серверу, но из памяти сервера они исчезнут, 
и завтра на работе она, возможно, не обнаружит важные служебные сообщения, которые 
были загружены на диск ее домашнего ноутбука. Таким образом, получаемая Полиной 
корреспонденция «рассеивается» по всем компьютерам, которыми она пользовалась. Такой 
подход не позволяет рационально организовать почту: распределять письма по нескольким 
различным папкам, сортировать их по разным критериям, отслеживать состояние пере- 
писки, отмечать письма, на которые послан ответ, и письма, еще требующие ответа, и т. д. 
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Конечно, если пользователь всегда работает только с одним компьютером, недостатки 
протокола РОРЗ не столь критичны. Но и в этом случае проявляется еще один «дефект» 
протокола — клиент не может пропустить, не читая, ни одного письма, поступающего от 
сервера. То есть объемное и, возможно, совсем не нужное вам сообщение может надолго 
заблокировать вашу почту. 


Протокол [МАР был разработан как ответ на эти проблемы. Предположим, что теперь 
Полина получает почту по протоколу МАР. С какого компьютера она бы ни обратилась 
к почтовому серверу, ей будут переданы только копии запрошенных сообщений. Вся 
совокупность полученной корреспонденции останется в полной сохранности в памяти 
почтового сервера (если, конечно, не поступит специальной команды от пользователя об 
удалении того или иного письма). Такая схема доступа делает возможным для сервера 
предоставление широкого перечня услуг по рациональному ведению корреспонденции, 
то есть именно того, чего лишен пользователь при применении протокола РОРЗ. Важным 
преимуществом [МАР является также возможность предварительного чтения заголовка 
письма, после чего пользователь может принять решение о том, есть ли смысл получать 
с почтового сервера само письмо. 


ГЛАВА 25 Служба управления 
сетью 


Функции систем управления сетью 


Как и любой сложный технический объект, компьютерная сеть требует выполнения раз- 
личных действий для поддержания ее в рабочем состоянии, анализа и оптимизации ее 
производительности, защиты от внутренних и внешних угроз. Среди многообразия средств, 
привлекаемых для достижения этих целей, важное место занимают службы (системы) 
управления сетью. 


Система управления сетью (МъМеђћмогк Мападетет Ѕуѕіет, ММЗ) — это сложный программно- 
аппаратный комплекс, который контролирует сетевой трафик и управляет коммуникационным 
оборудованием крупной компьютерной сети. 


Системы управления сетью работают, как правило, в автоматизированном режиме, вы- 
полняя наиболее простые действия автоматически и оставляя человеку принятие сложных 
решений на основе подготовленной системой информации. 


Система управления сетью предназначена для решения следующих групп задач: 


О Управление конфигурацией сети и именованием заключается в конфигурировании 
параметров как отдельных элементов сети, так и сети в целом. Для элементов сети 
(маршрутизаторы, мультиплексоры и т. п.) конфигурирование состоит в назначении 
сетевых адресов, идентификаторов (имен), географического положения и пр. Для 
сети в целом управление конфигурацией обычно начинается с построения карты сети, 
то есть с отображения реальных связей между элементами сети и связей между ними. 


Ц Обработка ошибок включает выявление, определение и устранение последствий сбоев 
и отказов. 


О Анализ производительности и надежности связан с оценкой на основе накопленной 
статистической информации таких параметров, как время реакции системы, пропуск- 
ная способность реального или виртуального канала связи между двумя конечными 
абонентами сети, интенсивность трафика в отдельных сегментах и каналах сети, а так- 
же вероятность искажения данных при их передаче через сеть. Результаты анализа 
производительности и надежности позволяют контролировать соглашение об уровне 
обслуживания (Ѕ.А), заключаемое между пользователем сети и ее администраторами 
(или компанией, продающей услуги). Без средств анализа производительности и на- 
дежности поставщик услуг публичной сети или отдел информационных технологий 
предприятия не сможет ни проконтролировать, ни, тем более, обеспечить нужный 
уровень обслуживания для конечных пользователей сети. 
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О Управление безопасностью подразумевает контроль доступа к ресурсам сети (данным 
и оборудованию) и сохранение целостности данных при их хранении и передаче через 
сеть. Базовыми элементами управления безопасностью являются процедуры аутен- 
тификации пользователей, назначение и проверка прав доступа к ресурсам сети, рас- 
пределение и поддержка ключей шифрования, управление полномочиями и т. п. Часто 
функции этой группы не включаются в системы управления сетями, а либо реализуются 
в виде специальных продуктов обеспечения безопасности, например, сетевых экранов 
или централизованных систем авторизации!, либо входят в состав операционных си- 
стем и системных приложений. 


Ц Учет работы сети включает регистрацию времени использования различных ресурсов 
сети (устройств, каналов и транспортных служб) и ведение биллинговых операций 
(плата за ресурсы). 


В стандартах о системах управления не делается различий между управляемыми объек- 
тами, представляющими коммуникационное оборудование (каналы, сегменты локальных 
сетей, коммутаторы и маршрутизаторы, модемы и мультиплексоры), и объектами, пред- 
ставляющими аппаратное и программное обеспечение компьютеров. Однако на практике 
деление систем управления по типам управляемых объектов широко распространено. 


В тех случаях, когда управляемыми объектами являются компьютеры, а также их системное 
и прикладное программное обеспечение, для системы управления часто используют особое 
название — система управления системой (Ѕуѕїет Мападетегпї Ѕуѕіет, 5М5). 


$М5 обычно автоматически собирает информацию об установленных в сети компьютерах 
и создает записи в слециальной БД об аппаратных и программных ресурсах. 5М5 может 
централизованно устанавливать и администрировать приложения, которые запускаются 
с серверов, а также удаленно измерять наиболее важные параметры компьютера, ОС, 
СУБД (например, коэффициент использования процессора или физической памяти, 
интенсивность страничных прерываний и др.). 5М5 позволяет администратору брать на 
себя удаленное управление компьютером в режиме эмуляции графического интерфейса 
популярных операционных систем. 


Архитектура систем управления сетью 


Агент управляемого объекта 


Для решения перечисленных задач необходимо иметь возможность управления отдельным 
устройством (объектом). Обычно каждое устройство, требующее достаточно сложного 
конфигурирования, производитель сопровождает автономной программой конфигуриро- 
вания и управления, работающей в среде специализированной ОС, установленной на этом 
устройстве. Мы будем называть такой программный компонент агентом. Агенты могут 
встраиваться в управляемое оборудование либо работать на устройстве, подключенном 
к интерфейсу управления такого устройства. Один агент в общем случае может управлять 


ГО средствах обеспечения сетевой безопасности читайте в части У ПГ книги. 
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несколькими однотипными устройствами, поддерживая интерфейс с оператором/адми- 
нистратором, который посылает ему запросы и команды на выполнение определенных 
операций. Агент может выполнять следующие функции: 


О хранить, извлекать и передавать по запросам извне информацию о технических и кон- 
фигурационных параметрах устройства, включая модель устройства, число портов, тип 
портов, тип ОС, связи с другими устройствами и др.; 


О выполнять, хранить и передавать по запросу извне измерения (подсчеты) характери- 
стик функционирования устройства: число принятых пакетов, число отброшенных 
пакетов, степень заполнения буфера, состояние порта (рабочее или нерабочее); 


О изменять по командам, полученным извне, конфигурационные параметры. 


В описанной схеме агент играет роль сервера, к которому обращается клиент-администра- 
тор с запросами о значениях характеристик или об установлении конфигурационных па- 
раметров управляемого устройства. Для получения требуемых данных об объекте, выдачи 
на него управляющих воздействий агент должен иметь возможность взаимодействовать 
с ним. Многообразие типов управляемых объектов не позволяет стандартизовать способ 
взаимодействия агента с объектом. Эта задача решается разработчиками при встраивании 
агентов в коммуникационное оборудование или в ОС. Агент может снабжаться специаль- 
ными датчиками для получения информации, например датчиками температуры. Агенты 
могут отличаться разным уровнем интеллекта: от минимального, достаточного лишь для 
подсчета проходящих через оборудование кадров и пакетов, до весьма высокого, позво- 
ляющего выполнять последовательности управляющих команд в аварийных ситуациях, 
строить временные зависимости, фильтровать аварийные сообщения и т. п. 


Двухзвенная и трехзвенная схемы управления 


Среди задач, определенных для систем управления сетью, есть сравнительно редкие 
операции (например, конфигурирование того или иного устройства), а есть и такие, ко- 
торые требуют частого вмешательства системы (анализ производительности каждого из 
устройств сети, сбор статистики по загрузке устройств). В первом случае используется 
«ручное» управление — администратор со своей консоли передает команды агенту. По- 
нятно, что такой вариант совсем не подходит для глобального мониторинга всех устройств 
сети. Рассмотрим вначале вариант ручного двухзвенного управления (рис. 25.1). 


Клиент 
системы 
управления 


Агент- 
сервер системы 
управления 


Протокол взаимодействия 


Консоль 
оператора 


Управляемый объект 


Рис. 25.1. Двухзвенная схема управления устройством 
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В качестве протокола взаимодействия клиента и сервера может применяться, напри- 
мер, протокол удаленного управления ѓе[пеѓ, клиентская часть которого должна быть 
установлена на компьютере администратора, а серверная — на устройстве. Серверная 
часть (е[пеѓ должна также поддерживать интерфейс с агентом, от которого будет посту- 
пать информация о состоянии управляемого объекта и значении его характеристик. На 
клиентской стороне протокол {еше может быть связан с программой поддержки гра- 
фического пользовательского интерфейса, которая, например, выводит администратору 
в графическом виде запрашиваемую характеристику. В общем случае администратор мо- 
жет работать с несколькими агентами. В качестве протокола взаимодействия клиентской 


и серверной частей нередко наряду с {е|пе{ используется протокол $$Н или протокол 
веб-службы НТТР. 


Для задач, требующих частого выполнения операций управления отдельными устрой- 
ствами, а также при росте количества управляемых устройств рассмотренная схема уже 
не может решить поставленную задачу. В схему вводится новое промежуточное звено — 
менеджер, призванный автоматизировать взаимодействие оператора с множеством агентов. 
Показанная на рис. 25.2 схема службы управления сетью реализуется в виде трехзвенного 
распределенного приложения, в котором функции между звеньями распределены следу- 
ющим образом: 


Ц Первое звено — клиент системы управления, устанавливается на компьютере оператора, 
поддерживает пользовательский интерфейс с промежуточным сервером. 


О Второе звено — промежуточный сервер, который выполняет функции менеджера 
и устанавливается либо на компьютере оператора, либо на специально выделенном 
компьютере. Менеджер взаимодействует обычно с несколькими клиентами и агентами, 
обеспечивая диспетчеризацию запросов клиентов к серверам и обрабатывая получен- 
ные от агентов данные в соответствии с поставленными перед системой управления 
задачами. Для повышения надежности и производительности в системе управления 
может быть предусмотрено несколько менеджеров. 


О Третье звено, агент, устанавливается на управляемом объекте или связанном с ним 


компьютере. 
Протокол 
«менеджер- 
агент» 
Протокол 4 


Клиент 
системы 
управления 


«оператор- 
менеджер» 
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Консоль 
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Рис. 25.2. Трехзвенная схема управления сетью 
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Взаимодействие менеджера, агента 
и управляемого объекта 


Остановимся подробнее на той части системы управления, которая относится к взаимо- 
действию менеджера, агента и управляемого объекта (рис. 25.3). 


Интерфейс Интерфейс агента 
менеджер – агент с моделью объекта 


Интерфейс менеджера Интерфейс агента 
с моделью объекта с объектом 


Модель 
управляемого 
объекта 


Модель управляемого 
объекта, содержащая 
текущие знания 
характеристик объекта 


Управляемый объект 
(маршрутизатор, канал, 
ОС, СУБД) 


Рис. 25.3. Взаимодействие агента, менеджера и управляемого объекта 


Для каждого управляемого объекта в сети создается некоторая модель объекта, представ- 
ляющая все характеристики объекта, необходимые для его контроля. Например, модель 
маршрутизатора обычно включает такие характеристики, как количество портов, их тип, 
таблицу маршрутизации, количество кадров и пакетов протоколов канального, сетевого 
и транспортного уровней, прошедших через эти порты. Модели объектов сети использу- 
ются менеджером как источник знаний о том, какой набор характеристик имеет тот или 
иной объект. Модель объекта совпадает с логической схемой базы данных (БД) объекта, 
хранящей значения его характеристик. Эта БД хранится на устройстве и постоянно по- 
полняется результатами измерений характеристик, которые проводит агент. В системах 
управления сетями, построенных на основе протокола $ММР такая база называется базой 
данных управляющей информации (Мапазетепе [шюгтаНоп Ваѕе, МІВ). 


Менеджер не имеет непосредственного доступа к базе данных МІВ — для получения кон- 
кретных значений характеристик объекта он должен по сети обратиться к его агенту. Таким 
образом, агент является посредником между управляемым объектом и менеджером. Ме- 
неджер и агент взаимодействуют по стандартному протоколу. Этот протокол позволяет 
менеджеру запрашивать значения параметров, хранящихся в МІВ, а агенту — передавать 
информацию, на основе которой менеджер должен управлять объектом. 


Различают внутриполосное управление (т-Бап4), когда команды управления идут по тому 
же каналу, по которому передаются пользовательские данные, и внеполосное управление 
(Ош-Бапа), осуществляемое вне канала передачи пользовательских данных. Внутриполос- 
ное управление более экономично, так как не требует создания отдельной инфраструктуры 
передачи управляющих данных. Однако внеполосное управление надежнее, так как соот- 
ветствующее оборудование может выполнять свои функции даже тогда, когда те или иные 
сетевые элементы выходят из строя и основные каналы передачи данных оказываются 
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недоступными. Схема «менеджер — агент — управляемый объект» позволяет строить до- 
статочно сложные в структурном отношении системы управления. Наличие нескольких 
менеджеров позволяет распределить между ними нагрузку по обработке управляющих 
данных, обеспечивая масштабируемость системы. 


Как правило, используются два типа связей между менеджерами: одноранговая (рис. 25.4) 
и иерархическая (рис. 25.5). Каждый агент, показанный на рисунках, управляет одним или 
несколькими элементами сети (Мебуогк ЕІетепі, МЕ), параметры которых он помещает 
в соответствующую базу МІВ. Менеджеры извлекают данные из баз МІВ своих агентов, 
обрабатывают их и хранят в собственных базах данных. Операторы, работающие за рабо- 
чими станциями, могут соединиться с любым из менеджеров и с помощью графического 
интерфейса просмотреть данные об управляемой сети, а также выдать менеджеру некото- 
рые директивы по управлению сетью или ее элементами. 


Система 
управления 3 


Система Система 
управления 1 управления 2 


ме) [ме] 9 м № 


Рис. 25.4. Одноранговые связи между менеджерами 


Система сетевого управления 


Рис. 25.5. Иерархические связи между менеджерами 
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В случае одноранговых связей каждый менеджер управляет своей частью сети на основе 
информации, получаемой от нижележащих агентов. Центральный менеджер отсутствует, 
а координация работы менеджеров достигается за счет обмена информацией между базами 
данных менеджеров. Но одноранговое построение системы управления сегодня считается 
неэффективным и устаревшим. 


Значительно более гибким является иерархическое построение связей между менеджерами. 
Каждый менеджер нижнего уровня выполняет также функции агента для менеджера верх- 
него уровня. Подобный агент работает уже с укрупненной моделью МІВ своей части сети. 
В такой базе МІВ собирается именно та информация, которая нужна менеджеру верхнего 
уровня для управления сетью в целом. 


Системы управления сетью на основе 
протокола 5ММР 


Протокол 5ММР 


Протокол $ММР (Ѕітріе Мапаретепі Ме\могКк Ргоѓосо! — простой протокол сетевого 
администрирования) используется в качестве стандартного протокола взаимодействия 
менеджера и агента. Протокол 5ММР относится к прикладному уровню стека ТСР/ІР. 
Для транспортировки своих сообщений он использует дейтаграммный транспортный про- 
токол ООР, который, как известно, не обеспечивает надежную доставку. Протокол ТСР 
организующий надежную передачу сообщений на основе соединений, весьма загружает 
управляемые устройства, которые на момент разработки протокола $ММР были не очень 
мощные, поэтому от услуг протокола ТСР было решено отказаться. $ММР — это протокол 
типа «запрос-ответ», то есть на каждый запрос, поступивший от менеджера, агент должен 
передать ответ. Особенностью протокола является его чрезвычайная простота — он вклю- 
чает в себя всего несколько команд: 


Ц Команда бе+кедиеѕї используется менеджером для запроса агента о значении какой- 
либо переменной по ее стандартному имени. 


О Команда беМех+Кедиеѕ+ применяется менеджером для извлечения значения следу- 
ющего объекта (без указания его имени) при последовательном просмотре таблицы 
объектов. 


Ч С помощью команды Кеѕропѕе 5ММР-агент передает менеджеру ответ на команду 
СбеїКедчеѕї или беїМ№ехКедиеѕї. 


О Команда ѕЅе+Кедиеѕї позволяет менеджеру изменять значения какой-либо переменной 
или списка переменных. С помощью команды $е*Ведие$+ и происходит собственно 
управление устройством. Агент должен «понимать» смысл значений переменной, 
которая используется для управления устройством, и на основании этих значений вы- 
полнять реальное управляющее воздействие — отключить порт, приписать порт опре- 
деленной линии УГ.АМ ит. п. Команда $е*Ведиез{ пригодна также для задания условия, 
при выполнении которого 5ММР-агент должен послать менеджеру соответствующее 
сообщение. Таким образом, может быть определена реакция на такие события, как 
инициализация агента, рестарт агента, обрыв связи, восстановление связи, неверная 
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аутентификация и потеря ближайшего маршрутизатора. Если происходит любое из 
этих событий, то агент инициализирует прерывание. 


О Команда Тгар используется агентом для сообщения менеджеру о возникновении особой 
ситуации. 


О Команда бе*Ви1Кк позволяет менеджеру получить несколько переменных за один запрос. 


ЅММР-сообщения, в отличие от сообщений многих других коммуникационных протоко- 
лов, не имеют заголовков с фиксированными полями. Любое ЗММР-сообщение состоит 
из трех основных частей: версии протокола, общей строки и области данных. 


Общая строка (соттипіѓу ѕігіпе) используется для группирования устройств, управляе- 
мых определенным менеджером. Общая строка является своего рода паролем, так как для 
того, чтобы устройства могли взаимодействовать по протоколу ЗММР, они должны иметь 
одно и ТО Же значение этого идентификатора (по умолчанию часто употребляется строка 
«риЬіс»). Однако этот механизм служит скорее для «распознавания» партнеров, нежели 
для безопасности". 


В области данных содержатся описанные команды протокола, а также имена объектов 
и их значения. Область данных состоит из одного или более блоков, каждый из которых 
может относиться к одному из перечисленных типов команд протокола $ММР. Для каждого 
типа команды определен свой формат. Например, формат блока, относящегося к команде 
бе{ведие$*, включает следующие поля: 


Ц идентификатор запроса; 

О статус ошибки (есть или нет); 

О индекс ошибки (тип ошибки, если она есть); 

О список имен объектов ЗММР МІВ, включенных в запрос. 


База данных МІВ 


База данных МІВ содержит значения множества различных типов переменных, характе- 
ризующих конкретный управляемый объект. В самой первой версии стандарта (МТВ-Г) 
для характеристики устройства предлагалось использовать 114 типов переменных. Эти 
переменные организованы в виде дерева. Из корня выходит 8 ветвей, соответствующих 
следующим восьми группам переменных: 


О 5уѕѓіет — общие данные об устройстве (например, идентификатор поставщика, время 
последней инициализации системы); 


О Гие’гасе; — параметры сетевых интерфейсов устройства (например, их количество, 
типы, скорости обмена, максимальный размер пакета); 


О Аа47ез; Гапяаноп Та Ме — описание соответствия между сетевыми и физическими 
адресами (например, по протоколу АКР); 


О ІГпіетеі Рғоѓосо! — данные, относящиеся к протоколу ІР (адреса ІР-шлюзов, хостов, 
статистика об [Р-пакетах); 


О ГСМР - данные, относящиеся к протоколу ІСМР; 


1 В версии 5ММРУЗ предусмотрены средства обеспечения конфиденциальности, целостности и аутен- 
тичности при обмене менеджера и агента данными. 
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Ц ТСР — данные, относящиеся к протоколу ТСР (число переданных, принятых и оши- 
бочных ТСР-сообщений); 


О ОрР — данные, относящиеся к протоколу ОРЮР (число переданных, принятых и оши- 
бочных ОРО-дейтаграмм); 


О ЕСР — данные, относящиеся к протоколу ЕСР (число принятых с ошибками и без 
ошибок сообщений). 


Каждая группа характеристик образует отдельное поддерево. Далее приведены переменные 
поддерева переменных /пѓегјасеѕ, используемые для описания интерфейса управляемого 
устройства: 


Ц 1+Туре — тип протокола, который поддерживает интерфейс (эта переменная принимает 
значения всех стандартных протоколов канального уровня); 


Ц іғмеи — максимальный размер пакета сетевого уровня, который можно послать через 
этот интерфейс; 


С іғѕрееа — пропускная способность интерфейса в битах в секунду; 
О іғрһуѕАаагеѕѕ — физический адрес порта (МАС-адрес); 


Ц іғАатіпѕїаїиѕ — желаемый статус порта (ир — готов передавать пакеты, йомп — не готов 
передавать пакеты, +е$41пё — находится в тестовом режиме); 


Ц іғорегѕ+аїиѕ — фактический текущий статус порта; имеет те же значения, что 
и 1+Адт1п5фажи$; 


О іғІпос+е+ѕ — общее количество байтов, принятое данным портом, включая служебные, 
с момента последней инициализации $ММР-агента; 


О іғІпусаѕ+РК5 — количество пакетов с индивидуальным адресом интерфейса, достав- 
ленных протоколу верхнего уровня; 


О іғІп№усаѕ+РКЕ5 — количество пакетов с широковещательным или групповым адресом 
интерфейса, доставленных протоколу верхнего уровня; 


О іғІпріѕсагӣѕ — количество корректных пакетов, принятых интерфейсом, но не достав- 
ленных протоколу верхнего уровня, скорее всего, из-за переполнения буфера пакетов 
или же по иной причине; 


О іғІпЕггогѕ — количество пришедших пакетов, которые не были переданы протоколу 
верхнего уровня из-за обнаружения в них ошибок. 


Помимо переменных, описывающих статистику по входным пакетам, имеется аналогичный 
набор переменных, относящийся к выходным пакетам. 


Еще более детальную статистику о работе сети можно получить с помощью расширения 
ЭММР — протокола ВМОМ (Кетоѓе Меёхогк МОМісогіпе — дистанционный мониторинг 
сети). Системы управления, построенные на основе КМОМ, имеют такую же архитектуру, 
элементами которой являются менеджеры, агенты и управляемые объекты. Отличие со- 
стоит в том, что ЭММР-системы собирают информацию только о событиях, происходящих 
на тех объектах, на которых установлены агенты, а КМОМ-системы — также о сетевом 
трафике. С помощью КМО\М-агента, встроенного в коммуникационное устройство, можно 
провести достаточно детальный анализ работы сетевого сегмента. Собрав информацию 
о наиболее часто встречающихся типах ошибок в кадрах, а затем получив зависимость 
интенсивности этих ошибок от времени, можно сделать некоторые предварительные вы- 
воды об источнике ошибочных кадров и на этом основании сформулировать более тонкие 
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условия захвата кадров со специфическими признаками, соответствующими выдвинутой 
версии. Все это помогает автоматизировать поиск неисправностей в сети. 


Режим удаленного управления 
и протокол їеіпеї 


Режим удаленного управления, называемый также режимом терминального доступа, 
предполагает, что пользователь превращает свой компьютер в виртуальный терминал другого 
компьютера, к которому он получает удаленный доступ. 


В период становления компьютерных сетей, то есть в 70-е годы, поддержка такого режима 
была одой из главных функций сети. Устройства РАР” сетей Х.25 существовали именно для 
того, чтобы обеспечить удаленный доступ к мейнфреймам для пользователей, находив- 
шихся в других городах и работавших за простыми алфавитно-цифровыми терминалами. 


Режим удаленного управления реализуется специальным протоколом прикладного уров- 
ня, работающим поверх транспортных протоколов, которые связывают удаленный узел 
с компьютерной сетью. Существует большое количество протоколов удаленного управ- 
ления — как стандартных, так и фирменных. Для ІР-сетей наиболее старым протоколом 
этого типа является ѓе[пе (КЕС 854). 


Протокол ќеіпеї работает в архитектуре клиент-сервер, обеспечивая эмуляцию алфавитно-циф- 
рового терминала и ограничивая пользователя режимом командной строки. 


При нажатии клавиши соответствующий код перехватывается клиентом ѓе[пеї, поме- 
щается в ТСР-сообщение и отправляется через сеть узлу, которым пользователь хочет 
управлять. При поступлении на узел назначения код нажатой клавиши извлекается из 
ТСР-сообщения сервером їе[пеѓ и передается ОС узла, которая рассматривает сеанс {е]пе{ 
как один из сеансов локального пользователя. Если ОС реагирует на нажатие клавиши 
выводом очередного символа на экран, то для сеанса удаленного пользователя этот символ 
также упаковывается в ТСР-сообщение и по сети отправляется удаленному узлу. Клиент 
{е]пеё извлекает символ и отображает его в окне своего терминала, эмулируя терминал 
удаленного узла. 


Протокол ќе[пеѓ был реализован в среде Опіх и, наряду с электронной почтой и ЕТР- 
доступам к архивам файлов, был популярным сервисом Интернета. Однако, поскольку для 
аутентификации пользователей в технологии {е|пеё применяются пароли, передаваемые 
через сеть в виде обычного текста (что означает, что пароли могут быть легко перехвачены 
и использованы), сеппе сейчас работает преимущественно в пределах одной локальной 
сети, где возможностей для перехвата пароля гораздо меньше. Для удаленного управления 
узлами через Интернет вместо {еште{ обычно применяется протокол $$Н (Ѕесиге $Не!). 
который, как и ќе[пеё, был первоначально разработан для ОС Опіх!. 5$ Н, как и ѓе[пет, 
передает набираемые на терминале пользователя символы на удаленный узел без интер- 


1 См. раздел «Аутентификация в ОС семейства Ох. Протокол 55Н» на сайте. 
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претации их содержания. Однако в 55Н предусмотрены меры по защите передаваемых 
аутентификационных и пользовательских данных. 


Сегодня основной областью применения ѓе[пеѓ является управление не компьютерами, 
а коммуникационными устройствами: маршрутизаторами, коммутаторами и хабами. Та- 
ким образом, он уже скорее представляет собой не пользовательский протокол, а протокол 
администрирования, то есть альтернативу 5ММР. 


Тем не менее отличие между протоколами ѓе[пеѓ и $ММР принципиально. Тепе предус- 
матривает обязательное участие человека в процессе администрирования, так как, по сути, 
лишь транслирует команды, которые вводит администратор при конфигурировании или 
мониторинге маршрутизатора (иного коммуникационного устройства). Протокол 5ММР, 
наоборот, рассчитан на автоматические процедуры мониторинга и управления, хотя и не 
исключает возможности участия администратора в этом процессе. Для устранения опас- 
ности, порождаемой передачей паролей в открытом виде через сеть, коммуникационные 
устройства усиливают степень своей защиты. Обычно применяется многоуровневая схема 
доступа, когда открытый пароль дает возможность только чтения базовых характеристик 
конфигурации устройства, а доступ к средствам изменения конфигурации требует другого 
пароля, который уже не передается в открытом виде. 


Вопросы к части УІІ 


1. Известно, что единственным идентификатором получателя электронной почты, в том 
числе в схеме с выделенным почтовым сервером, является адрес пользователя вида 
пате@дотат.сот. Каким образом письмо находит путь к почтовому серверу, обслу- 
живающему данного получателя? 


2. Заполните таблицу, описывающую свойства почтовых протоколов ІМАР, РОРЗ 
и 5МТР: 


Свойство протокола Протоколы 


При получении почты письмо копируется с сервера на клиент 


З. Браузер находит информацию по адресам специального формата, например, такому: 
Пір: //ммлу.ббс.со.ик/тобЫііе/мер/уегѕіопѕ.ѕһїті. Поясните, какая часть данной записи 
представляет собой (выберите вариант ответа): 


а) путь к объекту; 
б) ОМ5$-имя сервера; 
в) ОКІ -имя; 
г) тип протокола доступа. 
4. Что вы можете сказать о НТТР-сообщении вида НТТР /1.1 200 ОК? Варианты ответов: 
а) это НТТР-запрос; 
б) это НТТР-ответ; 
в) 200 — это код состояния; 
г) 200 — это объем переданной информации; 
д) ОК означает, что информация зашифрована открытым ключом; 
е) ОК означает, что «все в порядке!». 
5. Укажите, какие из следующих утверждений правильны: 
а) веб-сервер находится постоянно в активном состоянии, прослушивая ТСР-порт 
80; 
б) веб-сервер переходит в активное состояние, получив запрос от клиента на ТСР- 
порт 80; 
в) после отправки всех объектов клиенту сервер разрывает с ним ТСР-соединение; 


г) веб-сервер не хранит информацию о том, какие страницы пользователь уже по- 
сетил; 


д) получив запрос от клиента, веб-сервер отображает все объекты на экране. 
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10. 


11. 


За счет чего в версии НТТР/2 достигается ускорение процесса построения веб- 
браузером веб-страницы по сравнению с НТТР 1.0 и 1.1? 


В чем состоят недостатки организации почтовой службы, при которой почтовый кли- 

ент и сервер установлены на компьютере у каждого абонента? 

Агент системы управления сетью — это (выберите вариант ответа): 

а) программа, устанавливаемая на управляемое устройство; 

б) аппаратный блок, встраиваемый производителем в управляемое устройство; 

в) аппаратный модуль, способный измерять характеристики проходящего через 
управляемое устройство трафика; 

г) программа, способная по командам выполнять конфигурирование управляемого 
устройства; 

д) программно-аппаратный модуль, управляющий вычислительным процессом 
в устройстве. 

Что такое МІВ в системе управления сетью? Варианты ответов: 

а) модель управляемого объекта; 

6) база данных управляющей информации; 

в) протокол взаимодействия агента и менеджера системы управления сетью; 

г) набор характеристик объекта, необходимых для его контроля. 


Какую роль играет агент в двухзвенной схеме управления устройством? Варианты 
ответов: 


а) роль клиента; 

6) роль сервера; 

в) роль посредника. 

Какой протокол может быть использован для взаимодействия менеджера и агента 
системы управления сетью? Варианты ответов: 

а) ЭММР; 

б) ЅМТР; 

в) МІР; 

г) ЕТР; 

д) Тепе. 


Часть МІ! 


Безопасность 
компьютерных сетей 


О Глава 26. Основные понятия и принципы информационной безопасности 

О Глава 27. Технологии аутентификации, авторизации и управления доступом 
О Глава 28. Технологии безопасности на основе анализа трафика 

О Глава 29. Атаки на транспортную инфраструктуру сети 


О Глава 30. Безопасность программного кода и сетевых служб 


Эта часть книги открывается главой, в которой рассматриваются фундаментальные понятия и тех- 
нологии, лежащие в основе любой системы информационной защиты: конфиденциальность, до- 
ступность, целостность, уязвимость, угроза, атака, ущерб, аутентификация, авторизация, контроль 
доступа. Эти понятия поясняются примерами некоторых распространенных пассивных и активных 
атак на транспортную систему и программное обеспечение сети: отказ в обслуживании, ответвле- 
ние трафика, спуфинг, шпионы, кража личности. В качестве важнейшей концепции представлен 
системный подход к обеспечению безопасности — привлечение средств самой различной природы: 
законодательства, административных мер, процедур управления персоналом, средств физической 
защиты и программно-технического оборудования. Такой подход включает также следование уни- 
версальным принципам построения системы защиты: непрерывности и разумной достаточности, 
эшелонированного характера и сбалансированности. Завершает главу обзор криптографических ме- 
тодов, являющихся краеугольным камнем практически всех методов информационной безопасности. 


Глава 27 посвящена конкретным технологиям аутентификации, авторизации и контроля доступа. 
Рассматриваются процедуры, основанные на одноразовых и многоразовых паролях, цифровых 
сертификатах и цифровой подписи, описываются мандатный, дискреционный и ролевой способы 
управления доступом. Приводятся примеры как локальных, так и централизованных систем аутен- 
тификации и авторизации, в частности, подробно обсуждается система Кегбегоѕ. 


В следующей главе показано, как различные способы фильтрации могут быть использованы для 
экранирования сегментов сети от вредительского трафика. Рассматриваются системы мониторинга 
трафика на основе анализаторов протоколов и агентов протокола Ме ом, которые позволяют рас- 
познать атаку путем выявления отклонений образцов трафика от стандартного поведения. Изучаются 
различные типы файерволов: без запоминания состояния, с запоминанием состояния, с трансля- 
цией адресов (МАТ), с функцией прокси-сервера. Рассматриваются особенности анализа трафика 
и событий системами обнаружения вторжения (10$). Дается типовая схема разбиения крупной 
корпоративной сети на зоны безопасности. 
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В главе 29 изучаются уязвимости и методы защиты транспортной инфраструктуры сети. Особое 
внимание уделяется безопасности службы ОМ“ и протоколу маршрутизации ВСР — двум очень 
важным элементам архитектуры Интернета, обеспечивающим связность составляющих сетей 
и узлов в глобальном масштабе. В главе также подробно рассматривается технология защищен- 
ного канала 1Р$ес. 


В заключительной главе изучаются типичные уязвимости программного обеспечения компьютерной 
сети, а также приводятся рекомендации по их устранению. Освещены различные методы обнару- 
жения и обезвреживания вредоносного кода: троянских программ, червей, вирусов и программных 
закладок. Значительная часть этой главы посвящена вопросам безопасности сетевых служб — веб- 
службы, почты, облачных вычислений. 


Основные понятия 
и принципы 
информационной 
безопасности 


Идентификация, аутентификация 
и авторизация 


Для пояснения таких базовых понятий информационной безопасности, как «идентифи- 
кация», «аутентификация» и «авторизация», представим информационную систему (да- 
лее также — ИС) в виде упрощенной модели контролируемого доступа, когда несколько 
пользователей совместно работают с ресурсами информационной системы. Родившаяся 
полвека назад и направленная на повышение эффективности применения компьютера кон- 
цепция разделения ресурсов выдвинула проблемы безопасности вычислительных систем 
на первый план — необходимо было контролировать доступ пользователей к компьютеру, 
защищая системные и пользовательские данные от ошибочных или злонамеренных дей- 
ствий. Контролируемый доступ является важным направлением обеспечения безопас- 
ности наряду с другими средствами безопасности: криптографической защитой, аудитом, 
сегментацией сети и др. 


В модели контролируемого доступа определены объекты, субъекты, операции и система 
контроля доступа (рис. 26.1). 


Объекты представляют физические и логические информационные ресурсы ИС. К фи- 
зическим ресурсам относятся как отдельные устройства целиком (процессор, внешние 
устройства, маршрутизаторы, коммутаторы, физические каналы связи и др.), так и физи- 
ческие разделяемые ресурсы устройств (разделы и секторы диска, процессорное время, 
физические соединения канала связи). Логическими ресурсами являются файлы, вы- 
числительные процессы, сетевые сервисы, приложения, пропускная способность каналов 
СВЯЗИ ИТ. П. 


Субъекты представляют сущности, между которыми разделяются информационные ре- 
сурсы. Это могут быть легальные пользователи ИС: персонал, поддерживающий работу 
ИС, внешние и внутренние клиенты; группы легальных пользователей, объединенных по 
различным признакам. Пользователь осуществляет доступ к объектам ИС не непосред- 
ственно, а с помощью прикладных процессов, которые запускаются от его имени. Поэтому 
в качестве субъектов выступают также прикладные вычислительные процессы. Иногда 
оказывается полезным представление в качестве субъектов и системных вычислительных 
процессов. 
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Субъекты 


700777 є у 


Легальные пользователи Группы легальных 
пользователей 


| | Вычислительные 


процессы 


Операции 
доступа 


Система 
контроля доступа 


Логические ресурсы Физические ресурсы 


Рис. 26.1. Модель контролируемого доступа 


Операции выполняются субъектами над объектами. Для каждого типа объектов существу- 
ет собственный набор операций, которые с ними может выполнять субъект. Например, 
для файлов это операции чтения, записи, удаления, выполнения; для принтера — печать, 
перезапуск, очистка очереди документов, приостановка печати документа; для маршрути- 
затора — конфигурирование ит. д. 


Система контроля доступа решает, какие операции разрешены для данного субъекта по 
отношению к данному объекту. Для автоматизированного контроля доступа необходимо, 
чтобы для каждой пары субъект-объект были однозначно определены правила достипа, 
на основании которых система могла бы принимать решение о разрешении или запрете 
выполнения каждой из предусмотренных для данного объекта операций. 


Важнейщими элементами управляемого доступа являются процедуры идентификации, 
аутентификации и авторизации. 


Идентификация — это присвоение объектам и субъектам ИС уникальных имен — идентифи- 
каторов. 


Только при наличии уникальных идентификаторов система получает возможность 
распознавать и оперировать субъектами и объектами. Одни идентификаторы автомати- 
чески генерируются операционной системой (ОС) и приложениями (идентификаторы 
процессов, идентификаторы логических сетевых соединений), другие назначаются 
администратором компьютерной сети (идентификаторы пользователей, адреса компью- 
теров, доменные имена сетевых сервисов), третьи порождаются обычными сетевыми 
пользователями, обладающими таким правом (выбор собственного имени, назначение 
имен файлам). 


Идентификация пользователей представляет собой процедуру, выполняемую при логи- 
ческом входе в систему, когда пользователь в ответ на выведенное на экране приглашение 
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печатает свой идентификатор (имя), а система, сверяясь со своими данными, определяет, 
входит ли данное имя в число имен зарегистрированных (легальных) пользователей. 


Пользователь может быть представлен в системе в виде нескольких субъектов и, соот- 
ветственно, иметь несколько пользовательских идентификаторов. Например, один иден- 
тификатор он может применять во время сетевой регистрации, а другой — для работы 
с корпоративной базой данных. 


Аутентификация! — это процедура доказательства субъектом /объектом того, что он есть 
то, за что (кого) себя выдает. 


Аутентификация, или, другими словами, процедура установления подлинности, может при- 
меняться как к пользователям, так и другим объектам и субъектам, в частности, к данным, 
программам, приложениям, устройствам, документам (рис. 26.2). 


Рис. 26.2. «В Интернете никто не узнает, что ты собака, если успешно пройдешь аутентификацию» 
(рисунок Питера Штайнера) 


Аутентификация данных означает доказательство их подлинности, то есть того, что они посту- 
пили в неизмененном виде и именно от того человека, который объявил об этом. 


В процедуре аутентификации участвуют две стороны: 

ОЈ аутентифицируемый доказывает свою аутентичность, предъявляя некоторое доказа- 
тельство — аутентификатор; 

Ч аутентифицирующий проверяет эти доказательства и принимает решение. 

Аутентификация бывает односторонней и двусторонней (взаимной). 

Так, мы имеем дело с односторонней аутентификацией, в частности, при выполнении 

логического входа в защищенную систему. После того как пользователь сообщает системе 


свой идентификатор, он должен пройти процедуру аутентификации, то есть доказать, что 
именно ему принадлежит введенный им идентификатор (имя пользователя). Аутентифи- 


1 Термин «аутентификация» (аи ПеписаНоп) происходит от латинского слова аи Веписи$, которое 
означает «подлинный», «достоверный», «соответствующий самому себе». 
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кация предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных 
пользователей. 


В качестве аутентификатора аутентифицируемый может продемонстрировать знание не- 
коего общего для обеих сторон секрета, например слова (пароля), или обладание неким 
уникальным предметом (физического ключа) либо предъявить собственные биохаракте- 
ристики (допустим, отпечатки пальцев). 


В некоторых случаях односторонней аутентификации оказывается недостаточно, и тогда 
используют двустороннюю аутентификацию. Например, пользователь, обращающийся 
с запросом к корпоративному веб-серверу, должен доказать ему свою легальность, но он 
также должен убедиться сам, что ведет диалог действительно с веб-сервером своего пред- 
приятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутенти- 
фикации. Здесь мы имеем дело с двусторонней аутентификацией на уровне приложений. 
При установлении сеанса связи между двумя устройствами также часто предусматривают- 
ся процедуры взаимной аутентификации устройств на более низком, канальном, уровне. 


Авторизация! — это процедура контроля доступа субъектов (пользователей, вычислительных 
процессов, устройств) к объектам (например, файлам, приложениям, сервисам, устройствам) 
и предоставления каждому из них именно тех прав, которые для них определены правилами 
доступа. 


В отличие от аутентификации, которая позволяет распознать легальных и нелегальных 
пользователей, авторизация касается только легальных пользователей, успешно прошедших 
процедуру аутентификации. 


Доступ к объектам, полученный в обход разрешений системы контроля доступа, называется 
несанкционированным или неавторизованным. 


Модели информационной безопасности 


Понятие информационной безопасности может быть пояснено с помощью так называемых 
моделей безопасности, суть которых в следующем: множество всех видов нарушений без- 
опасности делится на несколько базовых групп таким образом, чтобы любое возможное 
нарушение обязательно можно было отнести по крайней мере к одной из этих групп. Затем 
система объявляется безопасной, если она способна противостоять каждой из этих групп 
нарушений. 


Триада «конфиденциальность, доступность, 
целостность» 
Одной из первых и наиболее популярных по сей день моделей безопасности является мо- 


дель, предложенная Зальцером (За{тег) и Шредером (Ѕсһгоейег). Авторы постулировали, 
что все возможные нарушения информационной безопасности всегда могут быть отнесены 


1! Термин «авторизация» (аш ПогтаНоп) происходит от латинского слова аџсѓогієаѕ, показывающего 
уровень престижа человека в Древнем Риме и соответствующие этому уровню привилегии. 
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по меньшей мере к одной из трех групп: нарушения конфиденциальности, нарушения 
целостности или нарушения доступности (рис. 26.3, а). 


Конфиденциальность 


х ас", 
| Недопустимость раскрытия ,' 
Я и утечки данных „4 


Аутентичность 


а) Триада КЦД 6) Гексада Паркера 


Рис. 26.3. Модели безопасности 


Соответственно, ИС находится в состоянии безопасности, если она защищена от наруше- 
ний конфиденциальности, целостности и доступности, где: 


О конфиденциальность (сопй4епиаШу) — состояние ИС, при котором информационные 
ресурсы доступны только тем пользователям, которым этот доступ разрешен; 


О целостность (ицезгцу) — состояние системы, при котором информация, хранящаяся 
и обрабатываемая этой ИС, а также процедуры обработки информации не могут быть 
изменены, удалены или дополнены неавторизованным образом; 


О доступность (ауаЙаБ ку) — состояние системы, при котором услуги, оказываемые 
системой, могут гарантированно и с приемлемой задержкой быть предоставлены поль- 
зователям, имеющим на это право. 


Для ссылки на триаду иногда используют аббревиатуру КЦД (конфиденциальность, 
иелостность, доступность), в англоязычной форме — СТА. 


Требования к безопасности могут меняться в зависимости от назначения ИС, характера 
используемых данных и типа возможных угроз. Трудно представить систему, для которой 
нарушения целостности и доступности не представляли бы опасности. Вместе с тем обес- 
печение конфиденциальности не всегда является обязательным. 


Например, если вы публикуете информацию в Интернете на веб-сервере и вашей целью 
является сделать ее доступной для самого широкого круга людей, то конфиденциальность 
не требуется. Однако требования целостности и доступности остаются актуальными. Дей- 
ствительно, если вы не предпримете специальных мер по обеспечению целостности систе- 
мы, то злоумышленник может изменить данные на вашем сервере и нанести этим ущерб 
вашему предприятию. Преступник может, например, внести изменения в помещенный на 
веб-сервере прайс-лист, что негативно отразится на конкурентоспособности вашего пред- 
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приятия, или испортить коды свободно распространяемого вашей фирмой программного 
продукта, что, безусловно, скажется на ее деловой репутации. Если бы модифицированные 
данные были к тому же секретными, то в таком случае имело бы место не только нарушение 
их целостности, но и их конфиденциальности. 


Не менее важным в данном примере является и обеспечение доступности данных. За- 
тратив немалые средства на создание и поддержание сервера в Интернете, предприятие 
вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. 
Однако существует вероятность того, что злоумышленник предпримет атаку, в результате 
которой помещенные на сервер данные станут недоступными для тех, кому они предна- 
значались. Примером таких злонамеренных действий может служить «бомбардировка» 
сервера пакетами, каждый из которых в соответствии с логикой работы соответствующего 
протокола вызывает тайм-аут сервера, что, в конечном счете, делает его недоступным для 
всех остальных запросов. 


Некоторые виды нарушений безопасности могут быть приведены к модели КДЦ только 
путем расширенного толкования основополагающих понятий конфиденциальности, до- 
ступности и целостности. В частности, свойство конфиденциальности по отношению, на- 
пример, к устройству печати можно интерпретировать так, что доступ к устройству имеют 
те и только те пользователи, которым этот доступ административно разрешен, причем они 
могут выполнять только те операции с устройством, которые для них определены. Свой- 
ство доступности устройства означает его готовность к работе всякий раз, когда в этом 
возникает необходимость. В свою очередь, свойство целостности может быть интерпре- 
тировано как свойство неизменности параметров данного устройства. 


Гексада Паркера 


За почти полвека, прошедших с момента публикации статьи Зальцера и Шредера, инфор- 
мационные системы и среда, в которой они функционируют, претерпели революционные 
изменения, поэтому неудивительно, что появились новые типы нарушений, которые 
намного труднее (если вообще возможно) трактовать в терминах КДЦ. Рассмотрим, на- 
пример, ситуацию, когда легальный клиент банка посылает по электронной почте запрос 
на снятие со счета крупной суммы, а затем заявляет, что этот запрос, который хотя и был 
послан от его имени, он не отправлял. Является ли это нарушением безопасности? Да. 
Были ли при этом нарушены конфиденциальность, доступность или целостность? Нет. 
Следовательно, список свойств безопасной системы следует расширить, добавив к КЦД 
еще одно свойство — неотказуемость. Неотказуемость (поп-герийіайоп) — это такое со- 
стояние системы, при котором обеспечивается невозможность отрицания пользователем, 
выполнившим какие-либо действия, факта их выполнения, в частности, отрицания отпра- 
вителем информации факта ее отправления и/или отрицания получателем информации 
факта ее получения. 


Одной из наиболее популярных альтернатив триаде КЦД является так называемая гексада 
Паркера (Рагкегіап Неха4), в которой определено шесть базовых видов нарушений, в число 
которых, помимо нарушений конфиденциальности, доступности и целостности, входят еще 
три вида нарушений: аутентичности, владения и полезности (рис. 26.3, 6). 


Аутентичность (аџѓћепіісісу) — это состояние системы, при котором пользователь не 
может выдать себя за другого, а документ всегда имеет достоверную информацию о его 
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источнике (авторе). Из этого определения видно, что аутентичность является аналогом 
неотказуемости. 


Владение (роѕѕеѕѕіоп) — это состояние системы, при котором физический контроль над 


устройством или другой средой хранения информации предоставляется только тем, кто 
имеет на это право. 


Полезность (и01іту) — это такое состояние ИС, при котором обеспечивается удобство 
практического использования как собственно информации, так и связанных с ее обработ- 
кой и поддержкой процедур. В безопасной системе меры, предпринимаемые для защиты 
системы, не должны неприемлемо усложнять работу сотрудников, иначе последние будут 
воспринимать меры защиты как помеху и пытаться при всякой возможности их обойти. 


Российский государственный стандарт! дает определение информационной безопасности 
на основе гексады Паркера: 


Информационная безопасность — все аспекты, связанные с определением, достижением 
и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчет- 
ности, аутентичности и достоверности информации или средств ее обработки. 


Уязвимость, угроза, атака 


Уязвимость (уи[пега Ку) — это слабое звено ИС, которое, став известным злоумышлен- 
нику, может позволить ему нарушить ее безопасность. Уязвимостями являются, напри- 
мер, ошибка в программе, примитивный пароль, неправильное назначение прав доступа 
к файлу с важными данными и множество других дефектов в разработке, эксплуатации 
или настройке системы. 


Уязвимости системы могут быть скрытыми, то есть еще не обнаруженными, известными, 
но только теоретически, или же общеизвестными и активно используемыми злоумыш- 
ленниками. Для общеизвестных уязвимостей в программных продуктах производители 
регулярно выпускают исправления, называемые патчами (раёсВ — «заплатка»). Так, ком- 
пания МисгозоЁ даже назначила специальный день — каждый второй вторник каждого 
месяца, когда она объявляст о новых исправлениях в семействе ОС УМп4о\5$. Многие из 
этих исправлений направлены на устранение уязвимостей. Однако к этой рутинной про- 
цедуре — регулярному внесению исправлений — не все и не всегда относятся с должным 
вниманием, из-за чего общеизвестные, но неисправленные ошибки в программном обе- 
спечении являются одним из самых распространенных типов уязвимостей. 


Другим типом уязвимостей, которым часто пользуются злоумышленники, являются 
ошибки в конфигурировании программных и аппаратных средств. Например, имена «ад- 
министратор» и «гость», установленные по умолчанию во многих ОС, могут облегчить 
злоумышленникам доступ к системе, поэтому уже при начальном конфигурировании 
ОС они должны быть заменены другими, менее очевидными именами. С этой же целью 
администратор должен настроить подсистему интерактивного входа на то, чтобы она не 


1 ГОСТ 13335-1:2006 «Информационная технология. Методы и средства обеспечения безопасности. 
Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникацион- 
НЫХ гехнологий». 
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показывала последнего имени пользователя, систему аудита (то есть настроить ее таким 
образом, чтобы подсистема фиксировала все успешные и неуспешные попытки входа 
пользователей), а также выполнить другие, столь же простые, но необходимые настройки. 


Поиск уязвимостей — важная часть задачи обеспечения безопасности. Эта работа включает 
в себя регулярное тестирование системы. В любой момент времени для любой системы 
можно указать множество различных видов уязвимостей. Например, для ОС и приложений 
новые уязвимости появляются чуть ли не каждый день. Выявлять их вручную — задача 
очень трудоемкая, поэтому для автоматизации поиска уязвимостей используют различные 
программные инструменты — средства сканирования уязвимостей, такие, например, как 
МсАѓее, №еѕѕиѕ и др. Сканирование заключается в последовательном (адрес за адресом 
узла, или номер за номером порта, или идентификатор за идентификатором сетевого со- 
единения) направлении запросов целевой системе. Затем на основании полученных от- 
ветов генерируется «информационный отпечаток», и, наконец, сравнением «отпечатка» 
с записями в базе данных выполняется идентификация уязвимости. 


Другими базовыми понятиями информационной безопасности являются угроза и атака. 


Угроза ((ћгеаб) — набор обстоятельств и действий, которые потенциально могут привести 
к нарушению безопасности системы (то есть к нарушению ее конфиденциальности, целост- 
ности и доступности, если пользоваться моделью КЦД). 


Атака (аќќаск) — это реализованная угроза. 


Мы в основном ограничимся рассмотрением только технических угроз, то есть угроз, ис- 
ходящих из искусственно созданного человеком мира техники и технологий (в частности, 
из Интернета), не принимая во внимание угрозы, возникающие от природных катаклизмов, 
военных действий, террористических атак или экономических потрясений. 


Атака может произойти только тогда, когда одновременно существуют уязвимость и направленная 
на использование этой уязвимости угроза (рис. 26.4). 


Рис. 26.4. Логическая связь между понятиями «уязвимость», «угроза», «атака», «ущерб» 


То есть вполне возможна ситуация, когда система имеет некую уязвимость, но эта уязви- 
мость еще не стала известной злоумышленникам. В подобном случае соответствующая 
угроза отсутствует, а значит, и атака не может быть проведена. Аналогично существование 
общеизвестной угрозы не влечет никакой опасности для системы, в которой нет соот- 
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ветствующей уязвимости. Например, появление информации о некоторой ошибке в коде 
ОС Міпаомѕ может породить угрозу, но атака не осуществится, если эта уязвимость будет 
быстро устранена. 


Таким образом, любая угроза направлена на поиск и/или использование уязвимостей си- 
стемы. В некоторых случаях злоумышленник работает «на ощупь», пытаясь обнаружить 
тот или иной дефект системы. Система реагирует на такого рода угрозы выдачей сообще- 
ний о мелких, но странных неполадках, а также флуктуациями в статистических характе- 
ристиках работы системы, на основании которых администратор сети или специалист по 
безопасности может заподозрить подготовку атаки. 


Другие угрозы выражаются в четкой последовательности действий и имеют формализо- 
ванное воплощение в виде эксплойта (ехр]о) — программы или просто последователь- 
ности командных строк, некоторой порции данных и/или пошаговом описании действий, 
которые, будучи выполненными, позволяют злоумышленнику воспользоваться некоторой 
конкретной уязвимостью ИС в своих интересах. Особая опасность эксплойта состоит в том, 
что, имея его в своем распоряжении, даже малоподготовленный хакер способен провести 
успешную атаку. Для этого ему достаточно зайти на один из многочисленных сайтов, 
снабжающих всех желающих своей «продукцией». Более того, в придачу к инструкциям 
и программам в Интернете можно найти даже предложения о сдаче в аренду целых бот- 
сетей, готовых к реализации мощных кибер-атак. В то же время наличие у эксплойтов 
фиксированных признаков, таких, например, как специфические кодовые последователь- 
ности, облегчают распознавание и отражение соответствующих атак. 


Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумыш- 
ленников. Примерно 2/3 от общего числа всех наиболее серьезных инцидентов, связанных 
с безопасностью, составляют нарушения или ошибки легальных пользователей сетей: 
сотрудников и клиентов предприятий, студентов, имеющих доступ к сети учебного за- 
ведения, и др. 


Угрозы со стороны легальных пользователей могут быть как умышленными, так и неумыш- 
ленными. К умышленным угрозам относятся, например, доступ и похищение конфиденци- 
альных данных, мониторинг системы с целью получения информации об ее устройстве, по- 
сещение запрещенных веб-сайтов, вынос за пределы предприятия съемных носителей ит. п. 


Безопасность может быть нарушена и в результате непреднамеренных нарушений поль- 
зователей и обслуживающего персонала — ошибок, приводящих к повреждению сетевых 
устройств, данных, программного обеспечения, ОС и приложений, беспечность в сохра- 
нении секретности паролей и др. Известно, что правильное конфигурирование устройств 
является одним из мощных средств обеспечения безопасности. Но, будучи выполненной 
с ошибками, эта операция способна обернуться своей противоположностью — угрозой. 
Как выяснилось, некоторые «атаки» на ИС были на самом деле не атаками, а ошибками 
администраторов сетей при выполнении конфигурирования элементов системы. Напри- 
мер, широко известен случай неверного конфигурирования протокола маршрутизации 
ВСР в сети клиента провайдера А57007, который привел к отказам работы большой части 
Интернета в 1997 году!. 


Угрозы внешних злоумышленников (хакеров) по определению являются умышленными 
и обычно квалифицируются как преступления. Отметим, что среди внешних нарушителей 


1 Бер: //ммм. теги.еди/та!.агсуез/папо/1997-04/т$500444 Бо. 
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безопасности встречаются люди, занимающиеся этой деятельностью как профессионально, 
так и из хулиганских побуждений. 


Ущерб и риск. Управление рисками 


Известно, что абсолютная безопасность ИС не может быть обеспечена никакими сред- 
ствами: всегда есть вероятность появления ошибок и проведения новых атак со стороны 
злоумышленников. Поэтому целью обеспечения информационной безопасности является 
не исключение, а минимизация возможного негативного влияния, которое могут оказать на 
ИС существующие угрозы. Из этого также следует, что надо каким-то образом ранжировать 
угрозы, чтобы решить, какими угрозами можно пренебречь, а на какие обратить основное 
внимание. Естественной мерой опасности атак и угроз является возможный ущерб, свя- 
занный с каждым из этих нарушений. 


Ущерб (1055, ітрасі) — это негативное влияние на систему, оказываемое проведенной 
атакой. 


Подчеркнем, что в качестве ущерба рассматриваются не только и не столько потери, связан- 
ные с восстановлением работы ИС, в частности серверов, файловой системы или системы 
аутентификации, — главное внимание должно быть уделено потерям, которые в результате 
этих нарушений понесло предприятие, строящее свой бизнес на базе этой ИС. 


Важнейшей задачей обеспечения информационной безопасности является управление 
рисками. Здесь риск определяется как оценка ущерба от атаки с учетом вероятностной 
природы атаки. Другими словами, риск характеризуется парой: 


{ Ущерб от атаки, Вероятность атаки}. 


Суть управления рисками — это системный анализ угроз, прогнозирование и оценка их послед- 
ствий для предприятия, ранжирование угроз по степени их вероятного осуществления и опасности 
последствий и, наконец, выбор на приоритетной основе контрмер, направленных на смягчение или 
исключение возможного негативного воздействия этих нарушений на деятельность предприятия. 


Управление рисками включает три укрупненных этапа (рис. 26.5): 

1. Анализ уязвимостей. 

2. Оценка рисков. 

3. Управление рисками, или риск-менеджмент (принятие конкретных мер). 


Анализ уязвимостей — объективное обследование реально существующих компьютерной 
сети, административных процедур и персонала. Угрозы определяются по отношению к ак- 
тивам предприятия, то есть ресурсам предприятия, представляющим для него ценность 
и являющимся объектом защиты (оборудование, недвижимость, транспортные средства, 
вычислительные устройства, ПО, документация и др.). Перечень угроз формулируется 
предположительно, то есть с использованием вероятностных категорий. 


Оценка рисков — ранжирование возможных атак по степени опасности. Для этого вычис- 
ляются соответствующие риски — вероятностные оценки ущерба, который может быть 
нанесен предприятию каждой из атак в течение некоторого периода времени. Риск атаки 
тем выше, чем больше ущерб от нее и чем выше ее вероятность. 
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Определение активов _ 


/ Управление рисками 
(принятие контрмер) , 


Анализ 
уязвимостей и угроз 


‹ (ранжирование атак) / 


Рис. 26.5. Управление рисками 


Риск-менеджмент — по каждому риску предпринимаются меры из следующего списка: 


О Принятие риска. Этот вариант касается неизбежных атак, наносящих приемлемый 
ущерб. 

О Устранение риска. Данный вариант имеет место, когда существующий риск можно 
свести на нет устранением либо уязвимости (например, сделать код коммерческого 


программного продукта открытым), либо угрозы (допустим, установить антивирусную 
систему). 


Ц Снижение риска. Если риск невозможно ни принять, ни устранить, то предпринимаются 
действия по его снижению. Например, всегда существует некоторая вероятность про- 
никновения злоумышленников в систему путем подбора паролей. В таком случае риск 
несанкционированного доступа можно снизить, установив более строгие требования 
к длине и сменяемости паролей. 


Ы Перенаправление риска. Если риск невозможно ни принять, ни устранить, ни даже су- 
щественно снизить, то риск может быть перенаправлен страховой компании. 


Типы и примеры атак 


Пассивные и активные атаки 


Атаки разделяют на активные и пассивные. 


Активные атаки включают явные воздействия на систему, изменяющие ее состояние. Это 
могут быть зловредный программный код-вирус, внедренный в исполняемую системой 
программу, искажения данных на страницах взломанного веб-сайта, блокировка сетевого 
сервиса путем «бомбардировки» его ложными запросами или внедренное в коммуника- 
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ционный протокол ложное сообщение. Главной отличительной чертой активных атак 
является то, что после своего завершения они, как правило, оставляют следы. 


Многие активные кибератаки относят к типу взламывания (БтеаКкіпр-іп) по аналогии с бы- 
товыми ограблениями со взломом, когда хозяин заходит в свой дом и сразу обнаруживает 
поврежденные замки, опустошенные ящики и разбросанные на полу вещи. В компьютерной 
системе после активного проникновения злоумышленника тоже остаются следы «взло- 
ма» — например, изменяется содержимое памяти, поступают странные диагностические 
сообщения, приложения начинают выполняться неправильно, замедленно или вообще 
зависают, в характеристиках сетевого трафика и в других статистических данных о работе 
системы появляются необъяснимые всплески активности. 


Пассивные атаки не нарушают нормальной работы ИС. Они связаны со сбором сведений 
об ИС, например, прослушиванием внутрисетевого трафика или перехватом сообщений, 
передаваемых по линиям связи. Во многих случаях пассивные атаки не оставляют следов, 
поэтому их очень сложно выявить (часто они так и проходят незамеченными). Если ис- 
пользовать военную терминологию, то это разведка (но не боем). 


Противопоставление активной и пассивной форм атаки является некоторой идеализацией. 
На практике мы редко имеем дело с активной или пассивной атакой «в чистом виде». Чаще 
всего атака включает подготовительный этап сбора информации об атакуемой системе, 
а затем на основе собранных данных осуществляется активное вмешательство в ее работу. 
К полезной для хакера информации относятся типы ОС и приложений, [Р-адреса, номера 
портов, имена и пароли пользователей. Часть информации такого рода может быть получе- 
на при анализе открытой информации или простом общением с персоналом (это называют 
социальным инжинирингом), а часть — с помощью тех или иных программ. В последнем 
случае мы сталкиваемся с другой последовательностью этапов: сначала выполняется актив- 
ная фаза внедрения на атакуемый компьютер подслушивающей программы, затем период 
пассивного сбора информации (например, паролей пользователей), а после этого — снова 
активная фаза проникновения в компьютер. 


Отказ в обслуживании 


К числу активных атак относятся две весьма распространенные атаки: отказ в обслужива- 
нии и распределенная атака отказа в обслуживании. 


Смысл атаки отказа в обслуживании (Пепіа! оЁ Ѕегуісе, ЮоЅ) прямо следует из ее на- 
звания. Система, предназначенная для выполнения запросов легальных пользователей, 
вдруг перестает это делать или делает с большими задержками, что эквивалентно отказу. 
Очевидный пример такой системы — веб-сайт. Наверняка 17 млн британских болельщи- 
ков Энди Марри «обрушили» бы сайт ВВС, если бы трансляция финального теннисного 
матча Уимблдона в 2013 году шла только в Интернете (к счастью, параллельно шла теле- 
визионная передача). Такие всплески запросов являются экстраординарными, и правильно 
спроектированные серверы справляются с нагрузкой, на которую они рассчитаны. Однако 
отказ в обслуживании может наступить в результате не только резкой флюктуации интен- 
сивности запросов, но и злонамеренных действий, когда перегрузка создается искусствен- 
но — допустим, когда на атакуемый компьютер посылается интенсивный поток запросов, 
сгенерированных средствами атакующего компьютера. Этот поток «затопляет» атакуемый 
компьютер, вызывая его перегрузку, и в конечном счете делает его недоступным. Блоки- 
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ровка происходит в результате исчерпания ресурсов либо процессора, либо операционной 
системы, либо канала связи (полосы пропускания). 


Злоумышленник может многократно усилить эффект от проведения атаки отказа в об- 
служивании путем кражи чужой вычислительной мощности. Для этого он получает 
контроль над атакуемым компьютером, загружает в него вредительское программное 
обеспечение и активирует его. Таким образом, злоумышленник незаметно от владельца 
«ответвляет» часть вычислительной мощности, заставляя компьютер работать на себя. 
При этом владельцу компьютера не наносится никакого другого вреда, кроме снижения 
производительности его компьютера. Для проведения мощной атаки злоумышленник за- 
хватывает контроль над некоторым множеством компьютеров (рис. 26.6), организует их 
согласованную работу и направляет суммарный, многократно усилившийся поток запро- 
сов с множества компьютеров-«зомби» на компьютер-жертву. Говорят, что в таких случаях 


имеет место распределенная атака отказа в обслуживании (Піѕігіђиќеа "Оепіа! о Ѕегуісе, 
Юро$ѕ), или Юр00%-атака. 


1] Узел, координирующий 005-атаку 


ВАА 


Атакуемый сервер 


Рис. 26.6. Схема О0о$-атаки 


При проведении атак злоумышленнику важно не только добиться своей цели, заключаю- 
щейся в причинении ущерба атакуемому объекту, но и уничтожить все следы своего уча- 
стия в этом. Одним из основных приемов, используемых злоумышленниками для «замета- 
ния следов», является подмена содержимого пакетов, или спуфинг (5роойтпрР). В частности, 
для сокрытия места нахождения источника вредительских пакетов (например, при атаке 
отказа в обслуживании) злоумышленник изменяет значение поля адреса отправителя в за- 
головках пакетов. Поскольку адрес отправителя генерируется автоматически системным 
программным обеспечением, злоумышленник вносит изменения в соответствующие про- 
граммные модули так, чтобы они давали ему возможность отправлять со своего компьютера 
пакеты с любыми [Р-адресами. Еще труднее определить адрес источника распределенной 
атаки, так как непосредственными исполнителями выступают «зомбированные» компьюте- 
ры и именно их адреса содержатся в поле адреса отправителя пакетов, «бомбардирующих» 
компьютер-жертву. И хотя ничего не подозревающие владельцы компьютеров-исполни- 
телей становятся участниками распределенной атаки помимо своей воли, большая часть 
ответственности ложится и на них. Ведь именно их недоработки в деле обеспечения без- 
опасности собственных систем сделали возможной эту атаку. 
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Внедрение вредоносных программ 


Многочисленная группа активных атак связана с внедрением в компьютеры вредоносных 
программ (та[\’аге — сокращение от та|с10и$ зоЁ\аге). К этому типу программ относятся 


троянские и шпионские программы, руткиты, черви, вирусы, спам, логические бомбы и др. 
(рис. 26.7). 


Черви 
Вирусы 


Рис. 26.7. Вредоносные программы 


Эти программы могут проникать на атакуемые компьютеры разными путями. Самый про- 
стой из них — «самодоставка», когда пользователь загружает файлы из непроверенных ис- 
точников (съемных носителей или веб-сайтов) либо беспечно открывает подозрительный 
файл, пришедший к нему как приложение по электронной почте. Существуют и более 
сложные представители вредоносных программ, обладающие собственными механизма- 
ми «размножения», копии таких программ распространяются по компьютерам сети без 
участия пользователей. 


Одним из примеров вредоносных программ являются шпионские программы (5ру\аге), 
которые тайно (как правило, удаленно) устанавливаются злоумышленниками на ком- 
пьютеры ничего не подозревающих пользователей, чтобы отслеживать и фиксировать все 
их действия. В число таких действий может входить введение имени и пароля во время 
логического входа в систему, посещение тех или иных веб-сайтов, обмен информацией 
с внешними и внутренними пользователями сети и пр. Собранная информация пересы- 
лается злоумышленнику, который применяет ее в преступных целях. 


Заметим, что в качестве шпионских программ могут использоваться не только созданные 
специально для этих целей вредоносные программы, но и программы легального назна- 
чения. Так, опасным средством шпионажа могут стать легальные системы мониторинга 
сети, такие, например, как популярные сетевые мониторы Мігеѕһагк или Місгоѕоќ М№ебуогк 
Мопког. Исходное назначение этих программ состоит в том, чтобы дать администратору 
сети возможность следить за сетевым трафиком, в частности, захватывать пакеты, исполь- 
зуя механизм фильтрации, просматривать их содержимое, собирать статистику по загрузке 
устройств. В руках злоумышленника такая программа превращается в мощный инструмент 
взлома сети, который позволяет перехватывать пакеты с паролями и другой секретной 
информацией. Потери, вызванные вредоносными программами, могут заключаться не 
только в уничтожении, искажении или похищении информации, приведении в нерабочее 
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состояние программного обеспечения, а значит, и компьютера в целом, но и в значительных 
затратах времени и сил администраторов на обнаружение и распознавание атак, фильтра- 
цию внешних сообщений, тестирование и перезагрузку систем. 


Кража личности, фишинг 


По мере развития услуг, оказываемых через Интернет, все более популярными становятся 
аферы, когда один человек выдает себя за другого. Действительно, ведь в этом случае не 
требуется личное присутствие в офисе, и индивидуум доказывает свою идентичность, 
передавая обслуживающему центру свои персональные данные по телефону или используя 
интерактивную систему веб-сайта. Злоумышленник решает выдать себя за другого, чтобы, 
например, взять кредит на чужое имя, получить доступ к чужому счету, рассчитаться за по- 
купку чужой карточкой, получить именное приглашение на закрытое мероприятие. Такую 
пассивную атаку, заключающуюся в сборе данных о другом человеке, называют кражей 
личности (ійепќібу ћеЁ). 


Фишинг (рһіѕһіпе — искаженное Ёіѕһіпе) используется мошенниками для «выуживания» 
персональных данных. К примеру, вы отвечаете на телефонный звонок, а человек, пред- 
ставившийся сотрудником банка или государственной налоговой службы, работником 
ЖКХ или представителем провайдера мобильной связи, начинает выспрашивать у вас 
персональные данные. Угроза может прийти и по электронной почте. Будущая жертва 
получает сообщение, в котором, к примеру, говорится о якобы произведенной ею покупке, 
как правило, достаточно дорогой. Далее говорится, что при снятии средств за эту покупку 
у банковской системы возникли некие проблемы. Для разрешения ситуации клиенту пред- 
лагается срочно пройти по ссылке на сайт банка. Жертва, взволнованная тем, что никакой 
такой покупки она не совершала, торопится прояснить ситуацию, щелкает на предложен- 
ной ссылке и видит на экране знакомый логотип своего банка и интерактивную форму, 
запрашивающую персональные данные клиента, ИНН, номер счета, девичью фамилию 
матери и другие данные, которые нужны злоумышленнику. 


Чем больше людей узнает о приемах выуживания информации, тем более изощренные 
методы обмана применяют преступники. Они создают поддельные сайты, выглядящие 
как настоящие, и используют доменные имена, очень похожие на настоящие. К примеру, 
когда вам предлагают посетить сайт международной платежной системы РауРа|, а в адрес- 
ной строке браузера появляется адрес ууъу.реура!.сот, вы можете и не заметить подмены. 
Когда же наученные горьким опытом пользователи Интернета стали более внимательными, 
мошенники научились, используя несовершенства браузеров, помещать в поле адресной 
строки браузера имя настоящего сайта, в нашем случае — раура|.сот. В такой ситуации 
даже самый внимательный пользователь может потерять бдительность и перейти на 
подставной сайт. И хотя эта уязвимость браузера была вскоре устранена, расслабляться 
нельзя — преступники продолжают совершенствовать приемы фишинга. 


Следующим изобретением стали всплывающие окна. Предположим, клиент получает до- 
ступ к сайту своего банка (действительному, не поддельному) в результате прохождения 
стандартной процедуры идентификации и аутентификации. Он просматривает страницы 
сайта, причем у него нет никаких сомнений в том, что это реальный сайт. В какой-то 
момент на экране появляется всплывающее окно, которое стилистически выглядит как 
неотъемлемая часть сайта. В этом окне размещена интерактивная форма, запрашивающая 
персональные данные. Клиент чувствует себя в полной безопасности и вводит все запра- 
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шиваемые данные. Однако В действительности «настоящий» сайт банка является только 
фоном, на котором располагаются окна-ловушки злоумышленника. 


Иерархия средств защиты 


Обычно первое, что ассоциируется с информационной безопасностью, — это антивирусные 
программы, файерволы, системы шифрования, аутентификации, аудита и другие техниче- 
ские средства защиты. Бесспорно, роль этих средств в обеспечении безопасности велика, 
однако не меньшее, а иногда и большее влияние на безопасность системы оказывают сред- 
ства, построенные на качественно иной основе. 


Видеокамера и надежный замок в офисе, продуманная процедура приема сотрудников на 
работу, закон, угрожающий хакеру уголовным преследованием, стандарт, помогающий 
провести анализ возможного ущерба из-за действия нарушителя, — все эти мало схожие 
между собой средства одинаково важны для обеспечения безопасности. 


Успех в области информационной безопасности может принести только системный подход, 
при котором средства защиты разных типов применяются совместно и под централизо- 
ванным управлением. 


Общепризнанным является представление множества разных средств защиты в виде 
четырех иерархически организованных уровней: законодательного, административного, 
процедурного и технического уровней. Средства каждого из них могут быть использованы 
на разных этапах жизненного цикла системы обеспечения информационной безопасности. 


Средства безопасности законодательного уровня. К этому уровню средств безопасности 
относятся правовое регулирование, стандартизация, лицензирование и морально-этиче- 
ские нормы, принятые в обществе. Законодательство может прямо влиять на концепцию 
построения защиты. Например, выход Федерального закона «О персональных данных», 
регламентирующего меры по обеспечению безопасности персональных данных при их 
обработке, потребовал от многих предприятий пересмотра и внесения принципиальных 
изменений в процедуры и инфраструктуру обработки информации. Важным направлением 
законодательства в области безопасности является и стандартизация. Стандартные про- 
цедуры оценки систем дают возможность их сопоставления и сравнения, на основании 
результатов которых может выполняться сертификация систем на соответствие опреде- 
ленным требованиям. К числу самых известных сертификационных стандартов относят 
Оранжевую книгу!. Этот самый заслуженный и популярный стандарт оценивает степень 
защищенности ОС. 


Средства безопасности административного уровня базируются на политике безопасности, 
которая определяет стратегические направления информационной защиты предприятия — 
очерчивает круг критически важных информационных ресурсов предприятия, защита 
которых представляет наивысший приоритет, предлагает возможные меры устранения или 
уменьшения связанных с этими ресурсами рисков. На основе найденной стратегии раз- 
рабатывается программа обеспечения безопасности ИС, планируется совокупный бюджет, 
необходимый для выполнения программы, назначаются руководители и очерчивается зона 
их ответственности. 


і Формальное название этого стандарта: «Министерство обороны США, Критерии оценки доверен- 
ных компьютерных систем» (Оерагетепе оЁ Ое{епсе, Тгиѕѓеа Сотрщег Ѕуѕіет Еуа|цайоп Сгцепа). 
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Средства безопасности процедурного уровня решают задачи, поставленные вышележа- 
щим административным уровнем, с использованием технических средств, предоставляе- 
мых нижележащим техническим уровнем. В качестве основного средства процедурного 
уровня выступает человек, выполняющий взаимосвязанную последовательность действий, 
направленную на решение той или иной задачи обеспечения безопасности. Любой аспект 
информационной безопасности предполагает использование средств процедурного уров- 
ня. Даже простое поддержание нормального режима работы ИС осуществляется за счет 
выполнения множества повседневных процедур: резервного копирования, управления 
программным обеспечением, профилактических работ и т. п. К средствам процедурного 
уровня относится также управление персоналом, пропускной режим на территорию пред- 
приятия, охрана границ территории и др. 


Средства безопасности технического уровня можно разделить на программные, аппарат- 
ные и программно-аппаратные. 


Программные средства включают защитные инструменты операционных систем (под- 
системы аутентификации и авторизации пользователей, средства управления доступом, 
аудит и др.) и прикладные программы, предназначенные для решения задач безопасности 
(системы обнаружения и предотвращения вторжений, антивирусные средства, прокси- 
серверы). 

Примером аппаратных средств, специализирующихся на информационной защите, яв- 
ляются источники бесперебойного питания, генераторы напряжения, средства контроля 
доступа в помещения и пр. 


К аппаратно-программным средствам относятся, например, некоторые анализаторы сете- 
вого трафика и межсетевые экраны. И хотя данный уровень средств называется техниче- 
ским, к нему также относят математические методы (методы криптографии), алгоритмы 
(эвристический алгоритм расчета времени оборота в протоколе ТСР), абстрактные модели 
(модели контроля доступа) и т. п. Именно техническому уровню средств безопасности 
уделяется основное внимание в этой книге. 


Принципы защиты 
информационной системы 


Далее рассмотрены принципы построения системы обеспечения информационной без- 
опасности, многие из которых имеют универсальный характер и применимы для защиты 
систем самой разной природы. 


Подход сверху вниз 


Подход «сверху вниз», где понятие «верх» означает руководство предприятия, а «низ» — 
уровень рядовых сотрудников, соответствует универсальному принципу движения от 
общего к частному. При таком подходе все принципиальные решения принимаются топ- 
менеджментом, затем руководители промежуточных уровней преобразуют их в более 
развернутые планы и частные решения, которые, наконец, доводятся в виде инструкций 
и в разной степени формализованных процедур до уровня исполнителей. Именно руково- 
дители предприятия определяют стратегически важные объекты защиты, оценивают риски, 
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которые может понести предприятие в результате разрушения тех или иных информаци- 
онных активов, намечают стратегию защиты информационных ресурсов. 


Противоположный подход — «от частного к общему», или «снизу вверх», успешно ис- 
пользусмый в некоторых сферах деятельности (например, в научных исследованиях), 
совершенно неприменим для проектирования сложных технических систем, к которым 
относится система обеспечения безопасности. Решения, принимаемые на уровне специ- 
алистов отдельных подразделений, могут оказаться несогласованными и не способствовать 
достижению глобальной цели. Например, системный администратор на свой страх и риск, 
приложив большие усилия и потратив значительные средства, обеспечил надежную защи- 
ту базы данных, а в ней, как впоследствии оказалось, хранится легко восстанавливаемая 
информация, которая не представляет для бизнеса особой ценности. 


Защита как процесс 


Защита должна представлять собой непрерывный, циклический, проактивный процесс. 


Задача информационной защиты не может быть решена раз и навсегда — напротив, работа 
по защите ИС должна идти непрерывно на протяжении всего существования защищаемой 
системы. Все системы безопасности уникальны, поскольку отражают специфику конкрет- 
ных предприятий, для защиты которых они предназначены. Но какие бы различные цели 
ни преследовались при их создании, какие бы различные технологии ни использовались, 
какие бы индивидуальные решения ни принимались, общий ход проектирования для всех 
правильно построенных систем защиты должен иметь циклический характер. Цикл должен 
включать анализ угроз и уязвимостей защищаемой системы, оценку рисков, разработку 
политики безопасности всех уровней и реализацию принятых решений, направленных на 
снижение рисков. 


Процесс обеспечения безопасности по возможности должен иметь ироактивный (упрежда- 
ющий), а не реактивный характер. При реактивном подходе защита заключается в принятии 
мер уже после того, когда нарушение безопасности произошло. Очевидно, что для успешно- 
сти отражения атаки в первую очередь важны правильно выбранные действия и скорость их 
выполнения, а как раз этого трудно ожидать в ситуации кризиса. Поэтому более предпочти- 
тельным является проактивный подход, когда для защиты от вероятных угроз в спокойной 
обстановке проводится основательная подготовка оборонительных мер: устанавливаются 
необходимые технические средства, продумываются действия персонала, составляются и до- 
кументируются инструкции — то есть делается все, что только может быть сделано заранее. 


Эшелонированная защита 


Эффективная защита обеспечивается путем многократного резервирования средств безопас- 
ности. 


Надежность решения любой задачи повышается, если использовать резервирование. За- 
Дача обеспечения безопасности не является здесь исключением. Так, например, для обес- 
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печения физической сохранности важного документа могут применяться самые разные 
средства защиты: дверные замки, датчики разбития окон, противопожарные сигнальные 
устройства, тревожная кнопка, сейф и масса других полезных приспособлений. 


Информационная система существует в окружении гораздо более изощренных и многооб- 
разных угроз, здесь тем более невозможно найти панацею — одно-единственное средство, 
которое могло бы со стопроцентной надежностью противостоять всем видам атак. Поэтому 
на пути кзащищаемому информационному ресурсу, как правило, устанавливают несколько 
барьеров. Вместе с тем возникает резонный вопрос: если ни одно из средств обеспечения 
безопасности не является абсолютно надежным и в принципе может быть преодолено 
злоумышленником, то в чем смысл нескольких защитных рубежей? Ответ: многократное 
резервирование в системах защиты служит не столько для того, чтобы какое-то из защит- 
ных средств продублировало отказавшее, а главным образом для того, чтобы заставить 
преступника потратить как можно больше времени на преодоление череды защитных 
барьеров. Замедление атаки повышает шанс ее обнаружения и принятия адекватных мер. 


Рассмотрим, например, как реализуется принцип эшелонированной защиты в случае, когда 
необходимо обеспечить безопасность данных, хранящихся на одном из хостов внутренней 
локальной сети предприятия. На рис. 26.8 концентрическими окружностями представлены 
рубежи обороны, каждый из которых добавляет к уже накопленному защитному потенциа- 
лу собственные средства защиты (некоторые виды этих средств обеспечения безопасности 
рассмотрены в последующих главах). 


Организационные процедуры 
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Рис. 26.8. Рубежи обороны ИТ-системы 
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Самый внешний слой (организационно-административный) решает задачу безопасности 
данных, затрудняя злоумышленникам физический доступ к данным. С этой целью раз- 
рабатываются и применяются административные и организационные меры безопасности: 
проверка персонала при приеме на работу, взаимный контроль персонала, ограничение 
использования переносных портативных носителей и др. 


Следующий слой также направлен на защиту от физического проникновения, но други- 
ми средствами — средствами физической защиты: ограждения, освещение, видеокамеры, 
контроль входа в здание, двери с кодовыми замками ит. п. 


Далее вступают в действие технические средства безопасности, которые для сети с типовой 
структурой включают следующие рубежи защиты: 


О внешняя сеть — для защиты от проникновения применяются средства регистрации 
входа, аудит, защитные свойства УРМ; 


О периметр внутренней сети — защита усиливается за счет файервола и прокси-серверов; 


О внутренняя сеть — добавляются системы обнаружения и предотвращения вторжений 
сетевого уровня; 


О хост — дополнительно проводятся процедуры аутентификации и авторизации, рабо- 
тают программный файервол, антивирус, системы обнаружения и предотвращения 
вторжений уровня хоста; 


О данные — механизм контроля доступа и шифрование. 


Сбалансированная защита 


Степень защищенности системы измеряется защищенностью ее самого слабого звена. 


Этот принцип можно сформулировать и несколько по-другому: при построении системы 
безопасности необходимо обеспечить баланс стойкости всех ее компонентов. Например, 
если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрова- 
ния окажется нулевым. 


Из данного принципа можно сделать и еще одно заключение: если у злоумышленника су- 
ществует несколько путей нанести урон системе и один из этих путей имеет слабую защиту, 
то нет смысла добиваться высокого качества защиты других путей. То есть если внешний 
трафик сети, подключенной к Интернету, проходит через мощный сетевой экран, но поль- 
зователи имеют возможность связываться с узлами Интернета по коммутируемым линиям 
через локально установленные модемы, то деньги (как правило, немалые), потраченные 
на сетевой экран, можно считать выброшенными на ветер. В таких случаях оказывается 
полезным еще один принцип — принцип единого контрольно-пропускного пункта, который 
заключается в том, что весь входящий во внутреннюю сеть и выходящий во внешнюю сеть 
трафик проходит через единственный узел сети, например межсетевой экран. 


Необходимость баланса стойкости разных компонентов системы безопасности особенно 
ярко иллюстрируется провалами силовых ведомств, когда мощные организации, рас- 
полагающие гигантскими ресурсами защиты, допускают существование явных прорех 
в своих системах безопасности. Так, известен случай, когда дисковый накопитель с клас- 
сифицированными данными вооруженных сил США был случайно обнаружен продаю- 
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щимся на базаре в Ираке. Причина — использование ненадежных процедур утилизации 
данных и аппаратуры, хотя для остальных стадий существования данных — хранения 
и передачи — использовались мощные алгоритмы шифрования. Еще два примера связаны 
с масштабными утечками сверхсекретных данных — их главными действующими лицами 
были Мэннинг (2010 г.) и Сноуден (2013 г.). В обоих случаях очевидным слабым звеном 
стало управление персоналом: несмотря на то, что незадолго до инцидентов в поведении 
потенциальных нарушителей их коллегами отмечались «странности», а также то, что 
в карьере каждого из них произошли события, которые обычно квалифицируются как 
провоцирующие факторы, в отношении них не было предпринято никаких расследова- 
ний. Кроме того, в обоих случаях не сработал и контроль использования портативных 
запоминающих устройств. 


Компромиссы системы безопасности 


Система обеспечения безопасности создается в результате компромисса между качеством 
защиты, с одной стороны, и затратами на разработку этой системы — с другой. Под 
качеством здесь понимается комплекс характеристик: функциональное разнообразие, на- 
дежность защиты, удобство работы сотрудников, поддерживающих систему безопасности, 
сотрудников других подразделений предприятия. 


Пусть, например, на предприятии внедряется система защиты. Ее назначение — сократить 
прогнозируемый совокупный ущерб, который мог бы быть нанесен предприятию, если бы 
система защиты отсутствовала. При внедрении системы защиты возможный ущерб от атак 
снизился, однако в позиции «убытки» у предприятия добавились затраты на внедрение си- 
стемы безопасности. Кроме того, к убыткам предприятия должны быть отнесены те потери, 
которые предприятие понесло из-за снижения производительности в результате внедрения 
системы безопасности. Подобное снижение может быть вызвано как дополнительными 
затратами вычислительных ресурсов, так и необходимостью выполнения сотрудниками 
предприятия дополнительных процедур, связанных с безопасностью. 


Решение о внедрении системы безопасности можно считать экономически обоснованным только 
в том случае, если потери от риска в совокупности с затратами на систему безопасности и поте- 
рями из-за снижения производительности окажутся меньше исходного значения ущерба отриска. 


Очевидно, что создание абсолютно непроницаемой защиты невозможно, так как у ата- 
кующих всегда остается теоретическая возможность взломать любую защиту — обычно 
это только вопрос времени и средств, которыми располагают злоумышленники. А это 
значит, что перед защищающейся стороной рано или поздно встанет дилемма: продол- 
жать ли вкладывать деньги или остановиться на текущем уровне безопасности. Для от- 
вета на этот вопрос разработчикам системы безопасности предлагается встать на место 
злоумышленника и попытаться оценить, какой уровень защиты злоумышленник мог бы 
посчитать неприемлемым для себя. Так, например, вряд ли имеет смысл браться за добычу 
конфиденциальных данных, если эта работа настолько длительная, что к тому времени, 
когда секретная информация попадет в руки, она уже устареет и не будет представлять 
никакой ценности. Аналогично, никто (из экономически мотивируемых преступников) 
не будет заниматься взломом системы, если выгоды от обладания защищаемым ресурсом 
меньше, чем средства, потраченные на проведение атаки. Исходя из этих соображений, 
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можно сформулировать следующие утверждения, каждое из которых представляет собой 
вариацию принципа разумной достаточности: 


О Затраты на обеспечение безопасности информации должны быть, по крайней мере, не 
больше, чем величина потенциального ущерба от ее утраты. 


О Стойкость системы безопасности считается достаточной, если время преодоления за- 
щиты превосходит время старения информации. 


О Стойкость системы безопасности считается достаточной, если стоимость ее преодоле- 
ния злоумышленниками превосходит стоимость полученной ИМИ ВЫГОДЫ. 


Таким образом, проектирование системы безопасности требует нахождения множества 
компромиссов между возможными затратами и возможными рисками. Так, в некоторых 
случаях можно отказаться от дорогостоящего файервола в пользу стандартных средств 
фильтрации обычного маршрутизатора, в других же приходится идти на беспрецедентные 
затраты. 


Шифрование — базовая 
технология безопасности 


Основные понятия и определения 


Шифрование является краеугольным камнем всех служб информационной безопасности, 
будь то система аутентификации или авторизации, защищенный канал или средства без- 
опасного хранения данных. Прежде чем перейти к конкретным методам и алгоритмам 
шифрования, давайте определим некоторые базовые понятия криптографии. 


Шифрование — обратимое преобразование информации в целях обеспечения конфиден- 
циальности данных. Дешифрование — процедура, которая, будучи примененной к зашиф- 
рованному тексту!, снова приводит его в исходное состояние. 


Пара процедур — шифрование и дешифрование — называется криптосистемой. Обычно 
криптосистема предусматривает наличие специального элемента — секретного ключа, в ка- 
честве которого может выступать некоторый предмет, например книга, число или рисунок. 
Простейший метод шифрования — замена букв в шифруемом тексте в соответствии с тем 
или иным правилом. Например, каждой букве алфавита может ставиться в соответствие 
другая буква этого алфавита, сдвинутая на некоторое число позиций влево или вправо. 
В качестве секретного ключа здесь выступает число, определяющее сдвиг. 


Криптосистема считается раскрытой, если найдена процедура, позволяющая подобрать 
ключ за реальное время. Методы раскрытия криптосистемы, процедуры выявления уяз- 
вимости криптографических алгоритмов, выяснение секретного ключа называют крипто- 
анализом или взломом шифра. Попытку раскрытия конкретного шифра с применением 
методов криптоанализа называют криптографической атакой. 


Например, классическим методом криптоанализа, применяемым для раскрытия шифров, 
основанных на перестановке или замене букв, является частотный анализ. Для текстов, на- 


1 Информацию, над которой выполняются функции шифрования и дешифрования, мы будем условно 
называть «текстом», учитывая, что это может быть также числовой массив или графические данные. 
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писанных на определенном языке, относящихся к определенной сфере знаний, существуют 
устойчивые статистические данные о частоте, с которой встречается в тексте та или иная 
буква или последовательность букв, включая некоторые слова. Обладая такими данными 
и проведя статистический анализ зашифрованного текста, можно выполнить обратную 
замену символов. 


Сложность алгоритма раскрытия является одной из важных характеристик криптоси- 
стемы и называется криптостойкостью. В криптографии принято правило Керкгоффса. 
заключающееся в том, что стойкость шифра должна определяться только секретностью 
ключа. Так, все стандартные алгоритмы шифрования (например, АЕ, РЕЗ, РСР) широко 
известны!, их детальное описание содержится в легкодоступных документах, но от этого их 
эффективность не снижается. Система остается защищенной, даже если злоумышленнику 
известно все об алгоритме шифрования, но он не знает секретный ключ. 


Существующие криптосистемы можно разделить на два класса — симметричные и асим- 
метричные. В симметричных схемах шифрования (классическая криптография) секрет- 
ный ключ шифрования совпадает с секретным ключом дешифрования. В асимметричных 
схемах шифрования (криптография с открытым ключом) ключ шифрования не совпадает 
с ключом дешифрования. 


Симметричное шифрование 


На рис. 26.9 приведена модель симметричной криптосистемы. В данной модели три участ- 
ника: два абонента, желающих обмениваться шифрованными сообщениями, и злоумыш- 
ленник, который хочет перехватить и каким-либо образом расшифровать передаваемые 
сообщения. 


ПРИМЕЧАНИЕ 


При объяснении алгоритмов шифрования здесь и далее мы будем называть участников обмена 
Алисой и Бобом, а злоумышленника, старающегося перехватить их сообщения, — Евой. Эти имена 
традиционно используются в криптографии. 


В распоряжении Алисы и Боба имеется незащищенный канал передачи сообщений, кото- 
рый в принципе может прослушиваться злоумышленником. Поэтому они договариваются 
использовать шифрование и для этого им нужен секретный ключ, известный только им 
двоим. Этот ключ им был передан (или один из них послал его другому) заранее по другому 
каналу — надежному. Боб и Алиса, получив ключ, находятся в абсолютно равном (симме- 
тричном) положении, каждый из них может как посылать шифрованные сообщения, так 
и получать и расшифровывать их. Для определенности на рисунке показана схема передачи 
сообщений со стороны Боба. 


Боб зашифровывает свое сообщение — открытый текст Х — функцией шифрования Ё 
с секретным ключом Ё и передает в открытый канал результат — шифрованный текст У. 
Алиса получает У и передает его на вход функции дешифрования Ё, которая выполняет 
в обратном порядке все действия, выполненные ранее функцией Ё. Это может быть сделано 


1 Вместе с тем существует немало фирменных алгоритмов, описание которых не публикуется для 
того, чтобы усилить защиту. 
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Рис. 26.9. Модель симметричного шифрования 


только в том случае, если на вход функции Ё будет подано то же самое значение параме- 
тра — значение ключа А. Алиса имеет секретный ключ и поэтому получает расшифрованное 
значение. При необходимости передавать шифрованные сообщения Бобу Алиса должна 
действовать аналогичным образом. 


До недавнего времени наиболее популярным стандартным симметричным алгоритмом 
шифрования данных был ОЕ$ (Ожа ЕпсгурИоп Запдаг4). Для шифрования используется 
циклическая последовательность операций над битами шифруемого текста — перестанов- 
ки, подстановки, логические операции двоичной арифметики. Эти операции применяются 
блочно, размер блока равен 64 битам. Некоторые операции над блоками шифруемых 
данных связаны со значениями секретного ключа, также имеющего длину 64 бита. Про- 
межуточный результат шифрования складывается по модулю 2 (операция ХОК) с преобра- 
зованной двоичной последовательностью ключа. Полный шифрованный текст получается 
слиянием результатов шифрования для всех блоков исходного текста. 


Процедура дешифрования выполняется в обратном порядке. Поскольку собственно ал- 
горитм РЕЗ не является секретом и широкодоступен, в том числе доступны все таблицы, 
описывающие перестановки, то стойкость алгоритма (степень сложности дешифрования) 
определяется только сложностью подбора ключа, которая прямо зависит от его длины. 


Криптостойкость всех симметричных алгоритмов зависит от качества ключа, что предъ- 
являет повышенные требования К службе генерации ключей, а также к надежности канала 
обмена секретными ключами между участниками секретных переговоров. 
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Чтобы повысить криптостойкость алгоритма ОЕ$, был разработан его усиленный вариант, 
называемый тройным алгоритмом ОЕ$, который включает троекратное шифрование с ис- 
пользованием двух разных ключей. При этом можно считать, что длина ключа увеличи- 
вается с 56 до 112 бит, а значит, криптостойкость алгоритма существенно повышается. Но 
за это приходится платить производительностью — тройной алгоритм ОЕ$ требует в три 
раза больше времени на реализацию, чем «обычный». 


В 2001 году был стандартизован симметричный алгоритм шифрования АЕ$ (Айуапсей 
Епсгуріоп З{апдаг4). АЕЅ обеспечивает лучшую защиту, так как использует 128-битные 
ключи (а также может работать со 192- и 256-битными ключами) и имеет более высокую 
скорость работы, кодируя за один цикл 128-битный блок, в отличие от 64-битного блока 
РЕЗ. В настоящее время, помимо АЕ, распространенным симметричным алгоритмом 
шифрования является алгоритм В]о\ЯзВ. Утвержденные в качестве государственного 
стандарта РФ шифры «Магма» и «Кузнечик» также являются симметричными блочными 
методами шифрования с ключом 256 бит, при этом в первом из них используется блок 
размером 64 бита, а во втором — 128 бит. 


($) Симметричный блочный алгоритм шифрования, использующий преобразования Фей- 
стеля. 


Проблема распределения ключей 


Симметричный подход к шифрованию изначально несет в себе очевидную проблему, на- 
зываемую проблемой распределения ключей (Кеу діѕігіБибіоп), которая состоит в следу- 
ющем. Отправитель и получатель хотят обмениваться секретными сообщениями, но в их 
распоряжении имеется незащищенный открытый канал. Поэтому они вынуждены исполь- 
зовать шифрование, но чтобы послать зашифрованное сообщение, нужно предварительно 
обменяться секретной информацией о значении ключа. Однако секретный ключ нельзя 
передать по открытому каналу. Если его зашифровать другим ключом, то опять возникает 
проблема доставки второго ключа. Получается замкнутый круг. 


Единственным по-настоящему надежным решением этой проблемы является передача 
ключа при личной встрече абонентов. Однако при активном обмене требуется часто ме- 
нять ключи, чтобы не дать возможности криптоаналитику собрать большое количество 
шифрованного материала — известно, что чем больше зашифрованных сообщений ока- 
жется в руках криптоаналитика, тем легче ему раскрыть криптосистему. Кроме того, если 
злоумышленник перехватывает и сохраняет сообщения, зашифрованные одним и тем 
же ключом, то при раскрытии данного ключа они все окажутся скомпрометированными. 
Следовательно, необходимы частые личные встречи абонентов для обмена ключами, что, 
во-первых, не всегда возможно, а во-вторых, вообще делает бессмысленным обмен дан- 
ными по каналу связи — действительно, зачем шифровать данные, если их можно лично 
передать при встрече. 


Менее надежным способом распределения ключей является использование курьеров или 
других вариантов защищенной доставки ключей, но это решение тоже имеет очевидные 
изъяны. Существуют и другие приемы, не решающие, но смягчающие проблему распреде- 
ления ключей. Например, у абонента может быть несколько секретных ключей, имеющих 
разное назначение. Один ключ выдается ему на долгий срок. Этот ключ применяется 
только для шифрования (дешифрования) других ключей — кратковременных, каждый из 
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которых действителен только на время одного сеанса связи. И хотя в этом случае все равно 
остается проблема доставки долговременного ключа, уже нет необходимости его частой 
смены, Так как этот ключ используется относительно редко и шифрует небольшие порции 
данных — сеансовые ключи. 


Несмотря на различные усовершенствования процедуры распределения ключей, они не 
могут полностью устранить коренной изъян симметричных методов — необходимость д0- 
ставки секретного ключа по незащищенному каналу. 


Если проблема с ключами возникает в системе с двумя абонентами, то она многократно 
усугубляется в системе с большим числом абонентов. Пусть, например, п абонентов желают 
обмениваться секретными данными по принципу «каждый с каждым» — значит, в этом слу- 
чае потребуется п (п – 1)/2 ключей и все они должны быть сгенерированы и распределены 
надежным образом. То есть количество требуемых ключей пропорционально квадрату коли- 
чества абонентов, что при большом числе абонентов делает задачу чрезвычайно сложной. 
Но именно такая ситуация наблюдается во всех современных сетях связи — телефонных, 
радио и компьютерных. Все это сделало проблему распределения ключей чрезвычайно 
актуальной. 


Метод Диффи—Хеллмана передачи секретного 
ключа по незащищенному каналу 


В середине 70-х годов американские ученые Мартин Хеллман и Уилтфилд Диффи нашли 
способ, с помощью которого абоненты могли безопасно обмениваться секретными клю- 
чами без передачи их по каналу связи. Особенность этого открытия состоит в том, что 
оно противоречит всем интуитивным представлениям человека, делая возможным то, что 
кажется «очевидно» невозможным. 


Метод Диффи- Хеллмана основан на использовании свойств односторонних функций. 


Односторонняя функция (опе-уау псиоп) — это функция и = Ех), которая легко вы- 
числяется для любого входного значения х, но обратная задача — определение х по задан- 
ному значению функции у — решается очень трудно. Примером односторонней функции 
может служить простейшая функция двух аргументов Е(р,а) = ра, представляющая собой 
произведение двух простых чисел р и 4, она вычисляется сравнительно просто, даже если 
числа р и д очень большие. Но чрезвычайно сложно решить обратную задачу (называе- 
мую факторизацией) — по произведению подобрать исходные два простых числа. Другой 
пример — функция Ү(х) = Ох тоа Р, которая при некоторых ограничениях на параметры 
"Р и Р является односторонней, то есть зная У, а также параметры Д и Р, нельзя без экс- 
траординарных вычислительных усилий найти аргумент х. 


Итак, пусть Алиса и Боб решили обмениваться шифрованными сообщениями, но в их 
распоряжении имеется только незащищенный открытый канал связи, при этом никаких 
возможностей встретиться или передать секретный ключ через кого-нибудь другого 
у них нет. В соответствии с алгоритмом Диффи- Хеллмана для успешного решения за- 
дачи Алиса и Боб должны выполнить следующие действия. Прежде всего они открыто 
договариваются о том, что будут использовать одностороннюю функцию У = Ох той Р. 
Затем они договариваются о значениях параметров Д и Р. Пусть, например, они догово- 
рились, что 2 = 7 и Р = 13, то есть функция имеет вид У = 7х той 13. Еще раз подчеркнем, 
что в соответствии с алгоритмом Диффи- Хеллмана вся эта информация не является 
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секретной, и даже если переговоры будут подслушаны Евой, это не даст ей возможности 
прочитать сообщения Алисы и Боба. Дальнейшие действия участников обмена описы- 
ваются в табл. 26.1. 


Таблица 26.1. Действия Алисы и Боба в соответствии с алгоритмом Диффи—Хеллмана 


Алиса секретным образом вы- Пусть, напри- | Боб также секретно выби- Пусть, напри- 
бирает произвольное число А мер, А = 2 рает произвольное число В | мер, В = 4 
(закрытый ключ Алисы) (закрытый ключ Боба) 


Алиса вычисляет значение а а = 72 тоа 13 = | Боб также вычисляет Ь = 71 тоа 13 = 
односторонней функции У, =10 значение р односторонней = 2401 той 
используя в качестве аргумента функции Ү, используя 19=9 

свое секретное число А: то есть в качестве аргумента свое 

а = ОА тоа Р (открытый ключ секретное число В: Б = ОВ 

Алисы) тоа Р (открытый ключ 


Боба) 


Алиса посылает Бобу свой от- Боб посылает Алисе свой 
крытый ключ а открытый ключ Ё 


Алиса, получив от Боба число Боб, получив от Алисы чис- = 101 той 
р, вычисляет по формуле К = БА З= ло а, вычисляет по формуле 52 = 10000 тоа 
тоа Р (разделяемый секретный З=; К = ав тоа Р (разделяемый | 13 = З 
ключ) секретный ключ) 


По правилам модульной ариф- По правилам модульной 

метики РА той Р = (ОВ тоа Р)А арифметики аВ то4 Р = 

тоа Р = РВА тоа Р = (ОА тоа Р) В тоа Р= РАВ 
тоа Р 


В результате описанной процедуры на шаге 4 Алиса и Боб получили одно и то же число 3! 
Математические преобразования показывают, что вычисления Алисы и Боба всегда будут 
давать одинаковые результаты. Полученные в результате числа они могут использовать 
в качестве известного только им ключа для различных симметричных методов шифро- 
вания. 


Посмотрим, может ли Ева подобрать разделяемый секретный ключ Алисы и Боба. Пусть 
на шаге З, когда Алиса и Боб посылали друг другу свои открытые ключи а (10) ир (9), 
Ева смогла перехватить эти числа (ведь канал является открытым) и теперь пытается 
вычислить разделяемый секретный ключ. Зная число а, которое Алиса послала Бобу, Ева 
хочет повторить действия Боба и вычислить разделяемый секретный ключ по формуле 
10В тоа 13. Для этого ей требуется закрытый ключ Боба В, который он, однако, хранит 
секретно от всех. Зато Ева знает, что Боб использовал свой закрытый ключ В, когда вы- 
числял значение своего открытого ключа - 6. То есть задача будет решена, если Ева смо- 
жет подобрать такое значение В, чтобы значение 7В тоа 13 равнялось 9. Но именно это 
практически неразрешимо, поскольку функция 7В той 13 является односторонней. Таким 
образом, Алиса и Боб действительно получили секретный ключ. 


Для того чтобы усложнить решение обратной задачи, то есть для восстановления закрытого 
люча Алисы или Боба по открытому, на параметры алгоритма накладываются некоторые 
ограничения, в том числе следующие: 


Ц все параметры ЏО, Р, А, В должны быть целыми положительными числами; 


О ди В должны быть большими числами порядка 10100; 
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О Р должно быть большим простым числом порядка 10300, причем желательно, чтобы 
(Р-1)/2 также было простым числом; 


О число Р не обязательно должно быть большим, обычно оно выбирается меньше десяти, 
р <Р. 


Хотя алгоритм Диффи- Хеллмана стал прорывом в области криптографии, в его исходном 
состоянии он представлял скорее теоретическую, нежели практическую ценность. Устранив 
препятствие в виде необходимости надежного закрытого канала для передачи ключа, этот 
метод не снял проблемы квадратичной зависимости числа ключей от числа абонентов. 
Решение пришло очень скоро — уже через год после появления алгоритма Диффи-Хел- 
лмана была теоретически доказана возможность принципиально нового подхода к шиф- 
рованию — асимметричного шифрования, при использовании которого (помимо прочих 
преимуществ) кардинально упрощается задача распределения ключей. 


Концепция асимметричного шифрования 


До сравнительно недавнего времени понятие «симметричное шифрование» не существова- 
ло просто потому, что все методы, которые использовались человечеством на протяжении 
нескольких тысяч лет, по современной классификации могли быть отнесены к классу сим- 
метричных, а других просто не было. Более того, все эти тысячи лет существовала твердая 
убежденность, что в принципе никогда не может быть иных схем, кроме симметричной, 
когда отправитель шифрует сообщение с помощью секретного ключа, а получатель с по- 
мощью этого же ключа сообщение расшифровывает! 


Революция свершилась в конце 60-х — середине 70-х, когда с разницей в несколько лет 
две группы ученых, одна из которых — уже знакомые нам Диффи и Хеллман, а другая — 
сотрудники секретной правительственной лаборатории Великобритании! Эллис, Кокс 
и Уильямсон, независимо друг от друга изобрели принципиально новый подход к шиф- 
рованию, открывающий глобальные перспективы в области современных коммуникаций. 
Предельно упрощая, этот подход можно описать фразой: «отправитель шифрует сообщение 
с помощью одного ключа, а получатель расшифровывает его с помощью другого ключа». 
Как видим, здесь на двух сторонах обменного канала используются разные ключи, то есть 
присутствует асимметрия — соответственно все методы, основанные на таком подходе, 
стали называть «асимметричными». 


Конечно, удивительно, что за несколько тысяч лет не было ни одной известной науке 
попытки изобретения асимметричного метода шифрования, и вдруг, практически одно- 
временно, две независимые группы ученых совершают это открытие! Возможно, причина 
кроется в том, что к концу 60-х годов совпало два обстоятельства: во-первых, возникла 
острая потребность в новом типе шифрования, а во-вторых, появились технические воз- 
можности реализации этой идеи. 


Потребность была продиктована зрелостью таких видов массовых коммуникаций, как теле- 
фон, радио, компьютерные сети, для которых, во-первых, особенно важна секретность вви- 
ду слабой защищенности публичных средств связи, а во-вторых, неприемлемы ограничения 
традиционных методов шифрования, выражающихся в необходимости обмена секретным 


1! Известно, что исторически первыми были британские криптографы, которые открыли асимме- 
тричное шифрование на 6 лет раньше, чем Диффи и Хеллман, однако до 1997 года они не могли 
обнародовать свои результаты, так как их работа имела гриф секретности. 
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ключом для каждой пары абонентов. К концу 60-х годов стали отчетливо вырисовываться 
перспективы использования Интернета как мировой сети связи, и одновременно с этим 
стало приходить осознание того, что глобальная публичная сеть может выполнить свою 
миссию только в том случае, если миллионам ее пользователей будет предоставлена воз- 
можность защищенного обмена сообщениями. 


Эти темы особенно волновали военных разных стран, которых очень привлекала воз- 
можность распределенного управления вооруженными силами, но пугала невозможность 
гарантировать секретность передаваемых директив. И если в недалеком прошлом проблема 
распределения секретных ключей хотя и существовала, но была преодолимой, то в новых 
условиях она стала принципиальным препятствием. 


К этому времени созрели технические возможности реализации вычислительно емких 
алгоритмов шифрования, к которым могут быть отнесены асимметричные алгоритмы. 
Массовое распространение получили компьютеры, обладающие такой вычислительной 
мощностью, которой до сих пор могли похвастаться только уникальные модели суперком- 
пьютеров. Это сделало шифрование обыденной операцией, которая может быть выполнена 
на обычном персональном компьютере. 


Вот на таком историческом фоне и была предложена концепция асимметричной крипто- 
системы, называемой также шифрованием с открытым ключом. 

На рис. 26.10 представлена модель асимметричной криптосистемы. Так же, как и в модели 
симметричного шифрования (см. рис. 26.9), здесь показаны три участника: отправитель 
(Боб), получатель (Алиса) и злоумышленник (Ева). В отличие от симметричной схемы 
шифрования, в которой наличие разделяемого секретного ключа автоматически означает 


Отправитель Получатель 


=—© Открытый 


‚-==-====--= ключ Алисы Е 


# О Закрытый 


, ключ Алисы О 


Открытый 
ключ Алисы Е <--------- `, 


Дешифрование 
У =РЕХ) 


Дешифрование 
Х =Р (У) 


Алиса 


трей Ее 
| мч З... с „ра, Аа №. (лда 
| Фад "у фа | ЧА бе, зб га. 
| ж зву З Р ж р у 7 
Й 77 Е 2 | & "д б Соб е 
А 4, Текст Ү, зашифрованный А да | 
у открытым ключом Е | 2 | 
Исходный текст — Х Текст Х, расшифрованный 


закрытым ключом О 
Рис. 26.10. Схема асимметричного шифрования 


830 Часть №1. Безопасность компьютерных сетей 


возможность двустороннего защищенного обмена, здесь существует отдельная процедура 
для передачи зашифрованных сообщений в каждую из сторон. На рисунке показан вариант, 
когда зашифрованные сообщения могут быть посланы только Бобом в сторону Алисы, но 
не наоборот. 


1. Итак, Алиса пожелала, чтобы Боб посылал ей зашифрованные сообщения. Для этого 
она сгенерировала пару ключей: открытый ключ (ри Ъ с Кеу) Е и закрытый ключ 
(ргіуаїе кеу) О. Для шифрования текста служит открытый ключ, но расшифровать 
этот текст можно только с помощью закрытого ключа. Алиса не хочет, чтобы кто-либо 
читал ее почту, поэтому она сохраняет закрытый ключ р (часто называемый также 
личным ключом) в секрете. Открытый же ключ Е Алиса свободно передает всем, от 
кого хочет получать зашифрованные сообщения. Открытый ключ не представляет 
никакого секрета, Алиса может поместить его на своей странице в социальной сети 
или обнародовать в рекламе на телевидении. Все, кто хотят посылать Алисе зашиф- 
рованные сообщения, используют один и тот же ключ Е, но при этом никто из них не 
может прочитать сообщения друг друга. 


2. Алиса передает Бобу свой открытый ключ Е по незащищенному каналу в незашифро- 
ванном виде. 


3. Боб шифрует свое сообщение Х открытым ключом Алисы Ёи посылает зашифрован- 
ный текст У = ЕХ) по открытому каналу. Никто не может прочитать это сообщение. 
Даже сам Боб, если бы ему вдруг захотелось перечитать, что он там написал, не смог бы 
этого сделать, потому что для этого нужен закрытый ключ Алисы, которого у него нет. 


4. Алиса получает шифрованное сообщение У =ЁРЕ(Х) и расшифровывает его своим за- 
крытым ключом Б: Х = Рр(У). 


Для того чтобы в сети все и абонентов имели возможность не только принимать зашиф- 
рованные сообщения, но и сами посылать таковые, каждый абонент должен обладать 
собственной парой ключей Еи Д. Всего в сети будет 27 ключей: п открытых ключей для 
шифрования и п секретных ключей для дешифрования. Таким образом решается проблема 
масштабируемости: квадратичная зависимость количества ключей от числа абонентов 
в симметричных алгоритмах заменяется линейной зависимостью в асимметричных алго- 
ритмах. Решается и проблема доставки ключа; поскольку теперь он не является секретом, 
его можно без опаски передавать по открытому каналу. А злоумышленнику нет смысла 
стремиться завладеть открытым ключом, поскольку это не дает возможности расшифро- 
вать текст или вычислить закрытый ключ. 


Алгоритм асимметричного шифрования ВАЗА 


Открыватели асимметричного подхода к шифрованию показали концеитуальную воз- 
можность существования функций, позволяющих построить криптографическую систе- 
му, в которой текст шифруется одним ключом, а расшифровывается другим. Они также 
обрисовали те перспективы, которые открывает этот подход в деле решения проблемы 
распределения ключей. Ими были сформулированы два принципиальных требования, 
которым должны удовлетворять функции асимметричной криптосистемы: 


О зашифрованное сообщение должно быть результатом вычислений односторонней 
функции, чтобы никто не мог выполнить обратные преобразования и получить ис- 
ходный текст; 
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Ч эта односторонняя функция должна быть сконструирована таким образом, чтобы у нее 
был некоторый секретный элемент, зная который получатель шифровки мог бы легко 
выполнить обратное преобразование. 


Функции, которые удовлетворяют данным требованиям, назвали односторонними функ- 
циями с потайным входом ({гар4оог шпсИоп). Некоторое время ученым не удавалось 
найти функций, удовлетворяющих этим критериям, поэтому идея асимметричного шиф- 
рования не находила практического применения. Наконец, в 1978 году трое американских 
ученых, Ривест, Шамир и Адлеман, предложили долгожданный алгоритм асимметрич- 
ного шифрования КЅА, названный так по первым буквам их фамилий — Кіуеѕє, ЗБапиг, 
Аетап. В табл. 26.2 описываются основные шаги алгоритма ВЗА. 


Таблица 26.2. Последовательность действий участников обмена данными в соответствии 


с алгоритмом ВЅА 
Числовой пример 


Действия Алисы и Боба 


Алиса произвольно выбирает два случайных 
простых числа Ри О. Они должны быть очень 
большими — от этого зависит стойкость алгоритма 
шифрования 


Алиса вычисляет два произведения: 
№- РО 
М = (Р- 1) (0 - 1) 


Алиса выбирает случайное целое число Ё, менынее 
М и не имеющее с ним общих сомножителей 


Пара (Е, №) - это открытый ключ Алисы, который 
она передает всем, от кого хочет получать шифро- 
ванные сообщения, Алиса посылает Бобу и всем 
остальным, с кем она желает вести защищенную 
переписку, свой открытый ключ (Е, № 


Алиса находит О такое, что РЁ = 1 той М. 
Пара (О, № — это закрытый ключ Алисы, который 


она не показывает никому. С этого момента она го- 
това получать зашифрованные сообщения от Боба 


Боб получил открытый ключ Алисы и так же, как 
все остальные, имеющие доступ к этому ключу, мо- 
жет посылать Алисе зашифрованные сообщения. 
Он представляет свое сообщение в любом циф- 
ровом формате и разбиваст его на блоки Х таким 
образом, чтобы 0 < Х< М 


Боб шифрует сообщение Х открытым ключом 
(Е, №): С = ХЕ той Ми посылает Алисе зашифро- 
ванное сообщение С 


Алиса получает сообщение С и расшифровывает 
его своим закрытым ключом (0, №: Х = С) тоа № 


В примере для простоты расчетов берутся очень 
маленькие числа. Пусть Р = 7 и О = 13 


№ = 91 
М =бх 12 = 72 


Ох5 = 1 мод 72 
” = 29 (это число легко находится подбором, 
если учитывать призпаки делимости на 5) 


Пусть секретный текст, посылаемый Бобом, со- 
стоит из одного символа А, который в коде АУЗСП 
имеет значение 1010010, или 82 в десятичном 
коде 


С = 825 тоа 91 = ={823 тоа 91 х 822 тоа 91} тоа 
91 = 10 

Вычисление модуля от степени числа упроща- 
ется при использовании следующего правила: 
(У!++) тоа Р = (Ух тоа Рх Ү той Рх Ү тоа Р) 
тоа Р 


Х = 102 той 91 = {101 тоа 91 х 104 тод 91 х 
106 тоа 91... } тоа 91 (внутри фигурной скобки 
четыре раза повторяется последний сомножи- 
тель — 106 тоа 91) 10 той 91 =10; 101 тоа 91 = 
81; 106 тоа 91 = 1 

Х= {10х81 х 1} тод 91 = 82 


Результат расшифровки Х = 82 совпадает с исходным секретным сообщением 
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Еве для того, чтобы прочитать перехваченное сообщение С, требуется закрытый ключ 
Алисы (О, №). Но в ее распоряжении имеется только открытый ключ (Е, №. Теоретически, 
зная открытый ключ, можно вычислить значение закрытого ключа. Однако необходи- 
мым промежуточным действием в этом преобразовании является нахождение простых 
чисел Ри О, для чего нужно разложить на простые множители очень большое число №, 
а это является чрезвычайно трудоемкой процедурой. Таким образом, здесь мы имеем дело 
с односторонней функцией М = Рх 0. Но для Алисы это же действие — разложение боль- 
шого числа на два простых множителя — не представляет никакого труда, потому что она 
знает, как сконструировано это число М, она сама его вычислила, произвольно выбрав два 
сомножителя. Другими словами, Алисе известен «потайной вход» этой односторонней 
функции. Именно с огромной вычислительной сложностью разложения большого числа № 
на простые множители Ри О связана высокая криптостойкость алгоритма КЅА. 


Хотя информация об открытом ключе не является секретной, ее нужно защищать от п00- 
логов, чтобы злоумышленник под именем легального пользователя не навязал свой от- 
крытый ключ, после чего с помощью своего закрытого ключа он мог бы расшифровывать 
все сообщения, посылаемые легальному пользователю, и отправлять свои сообщения от 
его имени. Решение проблемы дает технология цифровых сертификатов! — электронных 
документов, которые связывают конкретных пользователей с конкретными открытыми 
ключами. 


Хеш-функции. Односторонние функции 
шифрования. Проверка целостности 


В области информационной безопасности особое место занимает специальный класс одно- 
сторонних функций, называемых хеш-функциями. 


Хеш-функцией (Ваз псйоп) называют одностороннюю функцию, которая, будучи при- 
мененной к некоторым данным, дает в результате значение, состоящее из фиксированного 
сравнительно небольшого и не зависящего от длины исходных данных числа байтов. Ре- 
зультат работы хеш-функции называют хеш-кодом или дайджестом. Рассмотрим, напри- 
мер, функцию взятия модуля У(х) = х тоа и, где операция х то4 п (то есть х по модулю и) 
дает в результате остаток от деления х на л. Эта функция, во-первых, является односторон- 
ней, так как, зная остаток от деления х на п, невозможно однозначно определить значение 
аргумента х, во-вторых, она относится к классу хеш-функций, поскольку ее результат не 
зависит от аргумента х и всегда находится в диапазоне от 0 до (л - 1). 


Хеш-функции называют также односторонними функциям шифрования (ОФШ), где 
в качестве шифрованного представления исходных данных выступает дайджест. При 
этом знание дайджеста не позволяет и даже не предполагает восстановления исходных 
данных. Односторонние функции шифрования используют в разных целях, в том числе 
для обеспечения целостности и аутентичности информации. Пусть, например, требуется 
обеспечить целостность сообщения, передаваемого по сети. Отправитель и получатель 
договорились, что они будут использовать одностороннюю функцию Н с секретным чис- 
лом — ключом К — в качестве параметра. Прежде чем отправить сообщение Х, отправитель 
вычисляет для него дайджест М = Н(Х, К) и отправляет его вместе с сообщением Х адресату 


і См. раздел «Аутентификация на основе цифровых сертификатов» главы 27. 
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(рис. 26.11). Адресат, получив данные Хи М, применяет ту же самую ОФШ к переданно- 
му в открытом виде исходному сообщению Х, используя известный ему секретный ключ 
К: М’=Н(Х, К). Если значения дайджестов вычисленного локально М’ и полученного по 
сети М совпадают, то содержимое сообщения не было изменено во время передачи. 


"—=-------------------------- Ц ю------------------------------ 


Отправитель Получатель 


Ключ 


т 
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Рис. 26.11. Использование параметрической односторонней функций шифрования для контроля 
целостности 


Хеш-функции широко используются в сетевых протоколах, алгоритмах электронно-циф- 
ровой подписи, механизмах аутентификации на основе паролей. Наиболее популярной 
в системах безопасности в настоящее время является серия хеш-функций МО2, МР, 
М5. Все они генерируют дайджесты фиксированной длины в 16 байт. Адаптированным 
вариантом МР4 является американский стандарт ЗНА, длина дайджеста в котором со- 
ставляет 20 байт. Компания ІВМ поддерживает односторонние функции МОС2 и МОСА, 
основанные на алгоритме шифрования ре. 


ГЛАВА 27 Технологии 
аутентификации, 
авторизации 
и управления доступом 


Технологии аутентификации 


Как отмечено, аутентификация применительно к вычислительной системе — это дока- 
зательство подлинности различных элементов данной системы при их взаимодействии. 
Пользователь при входе в систему должен предъявить системе доказательства, что он 
именно тот пользователь, идентификатор которого он вводит. Таким доказательством 
может служить пароль. Документ, полученный пользователем по электронной почте, 
должен сопровождаться дополнительной информацией, убеждающей пользователя, что 
документ не был изменен при передаче и что автором этого документа является именно 
тот человек, от имени которого это письмо было послано. Здесь доказательством может 
служить электронная подпись. Устройства, взаимодействующие по сети, должны доказать 
друг другу, что ни одно из них не подменено злоумышленником с целью ответвления 
или прослушивания трафика. Для этого в протоколе взаимодействия устройств должна 
быть предусмотрена процедура взаимной аутентификации. Взаимная аутентификация 
требуется и для организации безопасного сеанса пользователя и серверного приложения. 
Аутентификация может проводиться не только по отношению к отдельному пользовате- 
лю, но и к группе пользователей. Методы аутентификации различаются в зависимости от 
того, что служит аутентификатором, а также от того, каким образом организован обмен 
аутентификационными данными между аутентифицируемым и аутентифицирующим 
элементами системы. 


Факторы аутентификации человека 


Абсолютно надежная аутентификация человека представляет собой теоретически не- 
разрешимую задачу. Нет такого аутентификатора, который со стопроцентной надежно- 
стью доказывал бы аутентичность человека. Пароль можно перехватить, электронный 
ключ — украсть, отпечаток пальца — подделать, радужную оболочку глаза — подменить 
качественным изображением. Более того, не существует научного доказательства невоз- 
можности совпадения у разных людей отпечатков пальцев или радужных оболочек глаза. 
Даже совпадение результатов анализа ДНК при современном уровне развития техники не 
может служить абсолютным доказательством аутентичности человека. 


Однако на практике при аутентификации пользователей в вычислительных системах огра- 
ничиваются некоторым не стопроцентным, хотя и достаточно высоким уровнем достовер- 
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ности доказательства аутентичности человека. Аутентификаторы, которые используются 
при этом, разделяют на три класса: 


Ы «что-то, что знаю» — к этому типу относятся многоразовые и одноразовые пароли, 
правила преобразования информации; 


Ц «что-то, что имею» — различные миниатюрные устройства, называемые аппаратными 
аутентификаторами/ключами; 


О «что-то, чем являюсь» — различные биометрические показатели аутентифицируемого. 


Класс аутентификаторов называют фактором. Если в процедуре аутентификации пред- 
усматривается предъявление аутентифицируемым нескольких аутентификаторов, отно- 
сящихся к разным классам, то такую аутентификацию называют многофакторной. Наи- 
большее распространение в настоящее время получила двухфакторная аутентификация, 
при которой пользователь предъявляет многоразовый пароль («что-то, что знаю») и ап- 
паратный ключ («что-то, что имею»). Следует заметить, что в некоторых случаях термин 
«многофакторная аутентификация» служит для обозначения процедур многоступенчатой 
аутентификации, построенных на использовании нескольких аутентификаторов, относя- 
щихся к одному и тому же классу. Примером такой процедуры является аутентификация 
владельца банковского счета при его звонке в банк: сначала его просят назвать несколько 
букв из его пароля, а затем задают несколько вопросов с заранее согласованными и зафик- 
сированными в базе данных аутентифицирующей организации ответами, например, о его 
памятном географическом пункте, о марке первого автомобиля и т. п. 


Аутентификация на основе паролей 


Пароль — это используемая при аутентификации сохраняемая в секрете последовательность 
символов, либо выбранная пользователем, либо сгенерированная программным или аппаратным 
средством, либо назначенная администратором. 


Пароли бывают одноразовыми и многоразовыми. Многоразовые пароли, как это следует 
из их названия, могут использоваться для доказательства аутентичности многократно. 
В процедурах аутентификации, основанных на одноразовых паролях, аутентифицируемый 
должен каждый раз предъявлять новое значение пароля. Обычно для генерации одноразо- 
вых паролей применяются специальные программы или аппаратные устройства (см. далее). 


Недостатки многоразовых паролей 


Механизмы аутентификации на основе многоразовых паролей, обладая простотой и логи- 
ческой ясностью, традиционно являются самым популярным средством аутентификации. 
Однако им свойственны и недостатки. Это, во-первых, возможность раскрытия и разга- 
дывания паролей, во-вторых, возможность «подслушивания» пароля при его передаче по 
сети путем анализа сетевого трафика. В-третьих, обладатели паролей могут стать жертвами 
социального инжиниринга. Так, например, беглый экс-сотрудник Агентства национальной 
безопасности США Эдвард Сноуден, работая системным администратором разведыва- 
тельной базы США на Гавайях, использовал логины и пароли более 20 своих сослуживцев, 
чтобы получить доступ к секретным файлам. Он получал эти данные, объясняя, что они 
необходимы ему для работы. 


836 Часть МИ. Безопасность компьютерных сетей 


Для снижения уровня угрозы раскрытия паролей администраторы сети, как правило, при- 
меняют встроенные программные средства, служащие для формирования политики назна- 
чения и использования паролей: задание максимального и минимального сроков действия 
пароля, хранение списка уже использованных паролей, управление поведением системы 
после нескольких неудачных попыток логического входа и т. п. 


Многие пользователи пренебрегают угрозами, которые несут в себе легко угадываемые 
пароли. Так, червь Мити, поразивший компьютерные сети в 2003 году, искал свои жерт- 
вы, подбирая пароли из очень короткого списка: раѕѕуога, раѕѕма, аітіп, раѕѕ, 123, 1234, 
12345, 123456 и пустая строка. Такая на удивление примитивная стратегия дала прекрас- 
ные (с точки зрения атакующей стороны) результаты — множество компьютеров было 
взломано. 


В списке наиболее популярных паролей, применяемых пользователями Интернета при 
доступе к веб-серверам, опубликованном в августе 2013 года компанией Соо е, места 
в первой десятке занимают имена и даты рождения членов семьи и близких друзей, на- 
звания мест рождения, даты свадьбы, клички домашних животных, что-либо связанное 
с любимой футбольной командой и слово «разз\ога». Как видно из приведенного списка, 
для заинтересованного человека не составит большого труда подобрать эти пароли. 


Но даже при выборе менее предсказуемого пароля вы все же рискуете, что он будет 
разгадан простым перебором всех возможных символов — такой метод часто называют 
брутфорс-атакой'. В табл. 27.1 приведены данные, характеризующие стойкость паролей, 
состоящих из б и 8 знаков, сформированных из разных наборов символов. Время опре- 
делялось для специальной программы подбора паролей, выполняемой на компьютере со 
средними характеристиками?. Обратите внимание, насколько возрастает время подбора 
пароля при увеличении его длины всего лишь на два знака. Так, при использовании толь- 
ко букв латинского алфавита (строчных и прописных) время подбора пароля из 8 знаков 
в 3000 раз больше, чем из 6 знаков! 


Таблица 27.1. Сравнение стойкости паролей 


Множество символов | Количество комбинаций Время подбора пароля 
6 знаков 8 знаков 6 знаков 8 знаков 


Цифры от 1 до 9 1 миллион ком- 100 миллионов | Практически 10 секунд 
бинаций комбинаций мгновенно 


26 только прописных | 309 миллионов 200 миллиар- 30 секунд Менее 6 часов 
или только строчных | комбинаций дов комбина- (в 720 раз дольше, 
букв латинского алфа- ЦИЙ чем для 6 знаков) 
вита 


Смесь 52 прописных 19 миллиардов 53 триллиона Полчаса Два месяца (почти 
и строчных букв ла- комбинаций комбинаций в 3000 раз дольше, 
тинского алфавита чем для 6 знаков) 


Прописные и строч- 782 миллиарда 7,2 квадриллио- | 22 часа 57 лет (пример- 
ные буквы, цифры комбинаций на комбинаций нов 22 700 раз 
и все символы (точка, дольше, чем для 
двоеточие и т. п.) 6 знаков) 


1 Вике-Югсе (англ.) — решать что-либо «в лоб», методом грубой силы. 
2 Данные взяты из статьи Бр://\мумум.[оскЧо\/п.со.иК/?рё=сопы. 
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Серьезной проблемой использования многоразовых паролей является их ручная синхрони- 
зация. В обычной жизни нам требуется не один, а несколько паролей: для входа в сеть пред- 
приятия, на котором мы работаем, для доступа к «личному кабинету» провайдера мобильной 
связи, для доступа к банковскому счету и к другим самым разным интернет-сайтам. Часто 
во всех этих случаях применяется один и тот же пароль (возможно, с небольшими вариаци- 
ями), потому что у нас нет времени придумывать и, главное, запоминать новый пароль для 
доступа к новому ресурсу. Выполнив регистрацию на сайте, не заслуживающем доверия, вы 
сообщаете его владельцам свой пароль, который теперь может быть использован для доступа 
к другим вашим данным, возможно, имеющим для вас критическое значение. 


Слабостью паролей является и процедура реакции аутентифицирующего компьютера на 
неправильно введенный пароль. На первый взгляд, естественным приемом, направленным 
на противодействие подбору паролей, кажется блокирование учетной записи, с которой 
было проведено некоторое количество (обычно не более трех) неудачных попыток входа. 
Однако такой подход дает злоумышленнику прекрасную возможность быстро заблокиро- 
вать работу предприятия. Действительно, идентификаторы пользователей являются менее 
защищенной информацией, чем пароли, к тому же они часто легко угадываемы (АОМИМУ, 
Сие$, ГТУАМОУ ит. п.) и их легче подсмотреть, так как они выводятся на экран. Поэтому 
злоумышленник может легко подобрать имена, выполнить по три неудачные попытки 
аутентификации для каждой учетной записи, вызвать их блокировку и привести таким 
образом систему в недоступное состояние. Снятие блокировок с учетных записей может 
стать серьезной проблемой, если таких записей очень много. 


Наряду с паролями существует и другой вариант использования аутентификаторов из 
класса «что-то, что знаю». Администратор сообщает пользователю заранее безопасным 
образом некоторое правило, например правило преобразования последовательности чи- 
сел в другие символы. Во время процедуры аутентификации система выводит на экран 
случайную последовательность чисел. Пользователь в соответствии с известным только 
ему и системе правилом преобразует их в другую последовательность символов, которую 
вводит в качестве пароля. Поскольку система также «знает» правило преобразования, она 
может проверить правильность введенного пароля. То есть здесь в качестве разделяемого 
секрета выступает правило преобразования. 


Строгая аутентификация в компьютерной сети на основе 
многоразовых паролей 


Как правило, аутентификация пользователей в компьютерных сетях строится на основе 
централизованной схемы. На одном из серверов сети поддерживается база данных, в ко- 
торой хранятся учетные данные обо всех пользователях сети. Учетные данные содержат 
наряду с другой информацией идентификаторы и пароли пользователей. Когда пользова- 
тель осуществляет логический вход в сеть, он набирает на клавиатуре компьютера свои 
идентификатор и пароль, которые передаются на сервер. По идентификатору пользователя 
в централизованной базе данных, хранящейся на сервере, находится соответствующая за- 
пись, из нее извлекается пароль и сравнивается с тем, который ввел пользователь. Если 
они совпадают, то аутентификация считается успешной, пользователь получает легальный 
статус и те права, которые определены для него системой авторизации. 


Однако такая упрощенная схема имеет большой изъян. А именно при передаче пароля 
с клиентского компьютера на сервер, выполняющий процедуру аутентификации, этот 
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пароль может быть перехвачен злоумышленником. Поэтому в разных системах аутенти- 
фикации применяются разные приемы, чтобы избежать передачи пароля по сети в неза- 
щищенном виде. 


Аутентификация, в процессе которой используются методы шифрования, а аутентифика- 
тор не передается по сети, называется строгой аутентификацией. 


Рассмотрим пример строгой аутентификации пользователей, реализуемой средствами 
ОС!. Пусть аутентификация пользователей сети выполняется на основе их паролей, 
хранящихся в зашифрованном виде в централизованной базе ЗАМ (Ѕесигіїу Ассоипіѕ 
Мапазег). Пароли зашифровываются с помощью односторонней функции шифрования 
при занесении их в базу данных во время процедуры создания учетной записи для нового 
пользователя (рис. 27.1). Введем обозначение для этой односторонней функции — ОФШУ. 
Таким образом, пароль Р хранится в базе данных ЗАМ в виде дайджеста 4(Р), при этом 
знание дайджеста не позволяет восстановить исходный текст. 


Клиентский компьютер 


Сравнение 


. ----------- 


Слово-вызов 5 


База данных 


ин-_ Учетной 
"формации БАМ 


Ответ-дайджест а($) 


Идентификатор Ір 


Рис. 27.1. Схема сетевой аутентификации на основе многоразового пароля 


При логическом входе пользователь локально вводит в свой компьютер имя-идентифика- 
тор (10) и пароль Р. Клиентская часть подсистемы аутентификации, получив эти данные, 
передает запрос по сети на сервер, хранящий базу ЗАМ. В этом запросе в открытом виде 
содержится идентификатор пользователя, но пароль в сеть ни в каком виде не передается. 


К паролю на клиентской станции применяется та же односторонняя функция ОФШУ, 
которая была использована при записи пароля в базу данных ЗАМ, то есть динамически 
вычисляется дайджест пароля 4(Р). 


В ответ на поступивший запрос серверная часть службы аутентификации генерирует 
случайное число 5 случайной длины, называемое словом-вызовом (сһа[епре). Это слово 
передается по сети с сервера на клиентскую станцию пользователя. К. слову-вызову на 
клиентской стороне применяется односторонняя функция шифрования ОФШ2. В отличие 
от функции ОФШУ, функция ОФШ2 является параметрической и получает в качестве 
параметра дайджест пароля 4(Р). Полученный в результате ответ 4(5) передается по сети 
на сервер базы ЗАМ. 


1 Аутентификация по данной схеме, наряду с другими методами, выполняется в ОС семейства 
МЯпао\. 
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Параллельно этому на сервере слово-вызов 5 аналогично шифруется с помощью той же 
односторонней функции ОФШ2 и дайджеста пароля пользователя &(Р), извлеченного 
из базы ЗАМ, а затем сравнивается с ответом, переданным клиентской станцией. При со- 
впадении результатов считается, что аутентификация прошла успешно. Таким образом, 
аутентификация проходит без передачи пароля по каналам связи. 


Заметим, что при каждом запросе на аутентификацию генерируется новое слово-вызов, 
так что перехват ответа 4(5) клиентского компьютера не может быть использован в ходе 
другой процедуры аутентификации. 


Строгая аутентификация в протоколе СНАР 


Другим примером строгой аутентификации может служить аутентификация по квитиро- 
ванию вызова (СпаПепяе Напдѕћаке Ашфеписайоп Ргоќосо!, СНАР), применяемая в про- 
токоле РРР. Протокол РРР предусматривает два режима аутентификации: 


Ч аутентификация по протоколу РАР, когда пароль передается по линии связи в от- 
крытом виде; 


Ј аутентификация по протоколу СНАР при которой пароль по линии связи не передается 
и, следовательно, обеспечивается более высокий уровень безопасности. 


Рассмотрим применение протокола СНАР при аутентификации удаленных пользовате- 
лей, подключенных к Интернету по коммутируемому каналу. Здесь аутентифицирующей 
стороной является сервер провайдера, а аутентифицируемой — клиентский компьютер 
(рис. 27.2). При заключении договора клиент получает от провайдера пароль (пусть, на- 
пример, это будет слово раго!). Этот пароль хранится в базе данных провайдера в виде 


дайджеста 7 = 4(раго!), полученного путем применения к паролю односторонней хеш- 
функции МО5. 


В протоколе СНАР предусмотрено четыре типа сообщений: $иссеѕѕ (успех), Спа[Йепве (вы- 
зов). Аеѕропѕе (ответ), ЕаЦиге (ошибка). 


Узел-аутентификатор Назненнемый Аутентифицируемый узел 
4 секрет - раго! > 
Ч(раго!) 
ый аи натен Зло ЧЫ АБ, С] 
Е 
Сервер провайдера Компьютер клиента 
Рагіѕ Моѕсом 


Рис. 27.2. Аутентификация по протоколу СНАР 


Аутентификация выполняется в следующей последовательности: 


1. Пользователь-клиент активизирует некоторую программу удаленного доступа к серве- 
ру провайдера, вводя назначенные ему имя и пароль. Имя (на рисунке это «Мозсо\») 
передается по сети провайдеру в составе запроса на соединение, но пароль не передается 
в сеть ни в каком виде. 


2. Сервер провайдера, получив запрос от клиента, генерирует псевдослучайное слово-вы- 
зов (пусть это будет слово «вооатогпіпв») и передает его клиенту вместе со значением, 
идентифицирующим сообщение в рамках данного сеанса (10), и собственным именем 
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(здесь — «Рагіѕ»). Это сообщение типа Сйа[етпре: (10, роойтогпіпе), Рагіѕ. Для защиты 
от перехвата ответа аутентификатор должен использовать разные значения слова-вы- 
зова при каждой процедуре аутентификации. 


3. Программа клиента, получив этот пакет, извлекает из него слово-вызов, добавляет 
к нему идентификатор и вычисленный локально дайджест 2 = @(раго!), а затем вычис- 
ляет с помощью все той же функции МО5 дайджест У = (10, воодтоги1пе, 4(раго!)} 
от всех этих трех значений. Результат клиент посылает серверу провайдера в пакете 
Кеѕропѕе. 


4. Сервер провайдера сравнивает полученный по сети дайджест Ү с тем значением, 
которое он получил, локально применив ту же хеш-функцию к набору аналогичных 
компонентов, хранящихся в его памяти. 


5. Если результаты совпадают, то аутентификация считается успешной и аутентификатор 
посылает партнеру пакет $иссе$$. 


Способ аутентификации, при котором многоразовые пароли пользователей хранятся в базе 
данных сервера в виде дайджестов, кажется вполне безопасным. Ведь если злоумышленник 
и сможет получить к ним доступ, то он даже теоретически не сможет восстановить исходное 
значение паролей по дайджесту. Однако создатель первого червя Роберт Моррис решил эту 
проблему. Он разработал довольно простую программу, которая генерировала возможные 
варианты паролей как используя слова из словаря, так и последовательным перебором 
символов. Для каждого сгенерированного слова вычислялся дайджест, который затем 
сравнивался с дайджестами из файла паролей. Удивительно, но такая стратегия оказалась 
весьма эффективной — хакеру удалось завладеть несколькими паролями. 


Аутентификация на основе 
аппаратных аутентификаторов 


Алгоритмы аутентификации, основанные на многоразовых паролях, не очень надежны. 
Пароли можно подсмотреть, разгадать или просто украсть. Более надежными оказыва- 


ются схемы на основе программных или аппаратных генераторов одноразовых паролей 
(рис. 27.3). 


Независимо от того, какую реализацию системы аутентификации на основе одноразовых 
паролей выбирает пользователь, он, как и в системах аутентификации с применением 
многоразовых паролей, сообщает системе свой идентификатор, однако вместо того чтобы 
вводить каждый раз один и тот же пароль, он указывает последовательность цифр, со- 
общаемую ему аппаратным или программным ключом. Через определенный небольшой 
период времени ключ генерирует другую последовательность — новый пароль. Сервер 
аутентификации проверяет введенную последовательность и разрешает пользователю 
осуществить логический вход. Сервер аутентификации может представлять собой от- 
дельное устройство, выделенный компьютер или программу, выполняемую на обычном 
сервере. 

Следует иметь в виду, что, как правило, системы аутентификации на основе одноразовых 
паролей рассчитаны на проверку удаленных, а не локальных пользователей. 


Рассмотрим схему использования аппаратного генератора одноразовых паролей, в основе 
которой лежит синхронизация по времени. Этот популярный алгоритм аутентификации 


Глава 27. Технологии аутентификации, авторизации и управления доступом 841 


был разработан компанией Зесигку Оупатісѕ. Идея метода состоит в том, что аппаратный 
ключ и аутентифицирующий сервер по одному и тому же алгоритму вычисляют некоторое 
значение — одноразовый пароль. Алгоритм имеет два параметра: 


О разделяемый секретный ключ, представляющий собой 64-разрядное число, уникально 
назначаемое каждому пользователю и хранящееся как в аппаратном ключе, так и в базе 
данных сервера аутентификации; 


О значение текущего времени. 


Рис. 27.3. Аппаратные ключи, генерирующие одноразовые пароли: а — ключ клиентов банка 
Вагкіауѕ для доступа к своим счетам; б — аппаратный ключ компании Ѕесигір 


Если вычисленные значения совпадают, то аутентификация считается успешной. 


Итак, пусть удаленный пользователь пытается совершить логический вход в систему 
с персонального компьютера (рис. 27.4). Аутентифицирующая программа предлагает 
ему ввести его личный персональный номер (РІМ), состоящий из четырех десятичных 
цифр (на рисунке — 2360), а также одноразовый пароль — шесть цифр случайного числа, 
отображаемого в тот момент на дисплее аппаратного ключа (на рисунке — 112511). На 
основе РІМ-кода сервер извлекает из базы данных информацию о пользователе, а имен- 
но — его секретный ключ. Затем сервер выполняет вычисления по тому же алгоритму, 
которой заложен в аппаратном ключе, используя в качестве параметров секретный ключ 
и значение текущего времени, проверяя, совпадает ли сгенерированное число с числом, 
введенным пользователем. Если они совпадают, то пользователю разрешается логиче- 
СКИЙ ВХОД. 


Потенциальной проблемой этой схемы является временная синхронизация сервера и аппа- 
ратного ключа. Вопрос согласования часовых поясов решается просто, но гораздо сложнее 
обстоит дело с постепенным рассогласованием внутренних часов сервера и аппаратного 
ключа, тем более что потенциально аппаратный ключ может работать несколько лет. 
Компания Ѕесигієу Оупатісѕ решает эту проблему двумя способами. Во-первых, при про- 
изводстве аппаратного ключа измеряется отклонение частоты его таймера от номинала. 
Далее эта величина учитывается в виде параметра алгоритма сервера. Во-вторых, сервер 
отслеживает коды, генерируемые конкретным аппаратным ключом, и если таймер данного 
ключа постоянно спешит или отстает, то сервер динамически подстраивается под него. 
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Рис. 27.4. Аутентификация на основе временной синхронизации 


Существует, однако, еще одна проблема, связанная со схемой временной синхронизации. 
Одноразовый пароль, генерируемый аппаратным ключом, действителен в течение некото- 
рого интервала времени (от нескольких десятков секунд до нескольких десятков минут), 
то есть в течение этого времени одноразовый пароль, в сущности, является многоразовым. 
Поэтому теоретически возможно, что очень проворный хакер сможет перехватить РТ№-код 
и одноразовый пароль с тем, чтобы также получить доступ в сеть в течение этого интервала. 


Схема временной синхронизации не требует наличия компьютера на стороне аутенти- 
фицируемого — для этих целей можно ограничиться простым терминалом или факсом. 
Пользователи могут даже вводить свой пароль с телефонной клавиатуры, когда звонят 
в сеть для получения голосовой почты. 


Аутентификация по схеме «запрос-ответ» 


Другая схема применения аппаратных ключей, называемая часто запрос-ответ, основана на 
идее, очень сходной с идеей строгой аутентификации, рассмотренной в предыдущем разделе. 
В том и другом случаях применяется слово-вызов. Когда пользователь пытается осуществить 
логический вход, аутентификационный сервер передает ему запрос в виде некоторого случай- 
ного числа (см. слово-вызов на рис. 27.5). Аппаратный ключ пользователя зашифровывает 
это случайное число (например, по алгоритму РЕ) и секретный ключ пользователя. Се- 
кретный ключ пользователя хранится в базе данных сервера и в памяти аппаратного ключа. 
В зашифрованном виде слово-вызов возвращается на сервер. Сервер, в свою очередь, также 
зашифровывает сгенерированное им самим случайное число с помощью того же алгоритма 
шифрования и того же секретного ключа пользователя, а затем сравнивает результат с чис- 
лом, полученным от аппаратного ключа. Как и в методе временной синхронизации, в случае 
совпадения этих двух чисел пользователю разрешается вход в сеть. 


Механизм со словом-вызовом имеет свои ограничения — он обычно требует наличия 
компьютера на каждом конце соединения, так как аппаратный ключ должен иметь воз- 
можность как получать, так и отправлять информацию. Схема «запрос-ответ» уступает 
схеме временной синхронизации по простоте использования. Для логического входа 
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Рис. 27.5. Аутентификация по схеме «запрос-ответ» 


с помощью схемы временной синхронизации пользователю достаточно набрать 10 цифр. 
Схемы «запрос-ответ» могут потребовать от пользователя выполнения большего числа 
ручных действий. В некоторых схемах «запрос-ответ» пользователь должен сам ввести 
секретный ключ, а затем набрать на клавиатуре компьютера полученное с помощью аппа- 
ратного ключа зашифрованное слово-вызов. 


Аутентификация информации. 
Электронная подпись 


Аутентификация данных включает: 


О подтверждение целостности хранящихся и переданных по сети данных и программ, то 
есть установление факта того, что они не подвергались модификации; 


Ч доказательство авторства сообщения (документа, программы), в том числе и для не- 
допущения отказа от авторства; 


О доказательство легальности приобретения программного обеспечения. 
Все эти задачи в той или иной мере могут быть решены посредством электронной подписи. 


Согласно терминологии, утвержденной Международной организацией по стандартизации 
(150), под термином «электронная (цифровая) подпись» понимаются методы, позволяю- 
щие устанавливать подлинность автора сообщения (документа) при возникновении спора 
относительно авторства. Основная область применения цифровой подписи — финансовые 
документы, сопровождающие электронные сделки, документы, фиксирующие междуна- 
родные договоренности, и т. п. Подчеркнем, что электронная подпись не ставит задачи 
обеспечения конфиденциальности сообщений. 


Хотя для получения подписи могут использоваться симметричные алгоритмы, более 
распространенными являются алгоритмы на основе открытого и закрытого ключей. На 
рис. 27.6 показана схема формирования цифровой подписи по алгоритму КЗА. Каждый 
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Рис. 27.6. Схема формирования цифровой подписи по алгоритму ВЅА 


Закрытый 
ключ (0, п) 


пользователь сети имеет свой закрытый ключ (О, п), необходимый для формирования 
подписи, а соответствующий этому секретному ключу открытый ключ (Е, п), предназна- 
ченный для проверки подписи, известен всем другим пользователям сети. Подписанное со- 
общение состоит из двух частей: незашифрованной части, в которой содержится исходный 
текст Т, и зашифрованной части, представляющей собой цифровую подпись. Цифровая 
подпись 5 вычисляется с помощью закрытого ключа (Р, п) по формуле 


5 = ТР тойу. 


Сообщение посылается в виде пары (Т, 5). Каждый пользователь, имеющий соответству- 
ющий открытый ключ (Е, п), получив сообщение, отделяет открытую часть Т, расшифро- 
вывает цифровую подпись 5 и проверяет равенство 


Т = 5Е тоа л. 


Если результат расшифровки цифровой подписи совпадает с открытой частью сообще- 
ния, то считается, что документ подлинный, не претерпел никаких изменений в процессе 
передачи, а автором его является именно тот человек, который передал свой открытый 
ключ получателю. 


К недостаткам данного алгоритма можно отнести то, что длина подписи в этом случае равна 
длине сообщения, что не всегда удобно. Для уменьшения «длины» электронной подписи 
вместо 5 = ТО тоа п используются формула 


5 = (Н(Т))Р то4 п. 


Здесь Н(Т) — хеш-функция, преобразующая исходное сообщение в короткий дайджест. 
В этом случае получатель сообщения (Т, 5) должен сначала применить к открытому 
тексту Т хеш-функцию Н и получить дайджест НСТ), а затем приступить к расшифровке 
подписи 5 открытым ключом. Если расшифрованная подпись совпадает с дайджестом, то 
авторство сообщения доказано. Использование хеш-функций дает выигрыш не только 
в объеме сообщения, но и во времени получения электронной подписи. 


Если помимо проверки аутентичности документа, обеспечиваемой цифровой подписью, надо 
обеспечить его конфиденциальность, то после применения к тексту цифровой подписи перед 
передачей его по каналу связи выполняют совместное шифрование исходного текста и циф- 
ровой подписи любым способом шифрования, согласованным отправителем и получателем. 
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Аутентификация на основе 
цифровых сертификатов 


Аутентификация с применением цифровых сертификатов является альтернативой приме- 
нению паролей и представляется естественным решением в условиях, когда число пользо- 
вателей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах 
процедура предварительной регистрации пользователей, связанная с назначением и хра- 
нением их паролей, становится крайне обременительной, опасной, а иногда и просто не- 
реализуемой. При наличии сертификатов сеть, которая дает пользователю доступ к своим 
ресурсам, не хранит никакой информации о своих пользователях — они ее предоставляют 
сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. 
Сертификаты выдаются специальными уполномоченными сертифицирующими организа- 
циями (СО) — центрами сертификации (Сегііћсаѓе АшфогКу, СА), или удостоверяющими 
центрами. Поэтому задача хранения секретной информации (закрытых ключей) возлага- 
ется на самих пользователей, что делает это решение гораздо более масштабируемым, чем 
вариант с централизованной базой паролей. 


Сертификат представляет собой электронную форму, в которой содержится следующая 
информация: 


О открытый ключ владельца данного сертификата; 


Ц сведения 9 владельце сертификата, такие, например, как имя, адрес электронной почты, 
наименование организации, в которой он работает, и т. п; 


О наименование сертифицирующей организации, выдавшей данный сертификат; 


О электронная подпись сертифицирующей организации, то есть зашифрованные закры- 
тым ключом этой организации данные, содержащиеся в сертификате. 


Использование сертификатов основано на предположении, что сертифицирующих ор- 
ганизаций немного и их открытые ключи широкодоступны, например, из публикаций 
в журналах. 


Сертификаты могут быть представлены в трех формах (рис. 27.7): 
О воткрытой форме сертификат содержит всю информацию в незашифрованном виде; 


О вформе из двух частей — открытой, содержащей всю информацию в незашифрованном 
виде, и закрытой, представляющей собой ту же информацию, но зашифрованную за- 
крытым ключом сертифицирующей организации; 


О вформе из трех частей — во-первых, открытой, во-вторых, зашифрованной закрытым 
ключом сертифицирующей организации, в-третьих, части, представляющей собой 
первые две части, зашифрованные закрытым ключом владельца. 


Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат 
в двух формах: открытой (то есть такой, в которой он получил его в сертифицирующей 
организации) и зашифрованной (с применением своего закрытого ключа). Сторона, 
проводящая аутентификацию, берет из незашифрованного сертификата открытый ключ 
пользователя и расшифровывает с его помощью зашифрованного сертификата. Совпаде- 
ние результата с открытым сертификатом подтверждает, что предъявитель действительно 
является владельцем закрытого ключа, соответствующего указанному открытому. 


Затем с помощью известного открытого ключа указанной в сертификате организации про- 
водится расшифровка подписи этой организации в сертификате. Если в результате полу- 
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Рис. 27.7. Формы представления цифрового сертификата 


чается тот же сертификат с тем же именем пользователя и его открытым ключом, значит, 
он действительно прошел регистрацию в сертификационном центре, является тем, за кого 
себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему. 


Сертификаты можно применять не только для аутентификации, но и для предоставления 
прав доступа к ресурсам. Для этого в сертификат могут вводиться дополнительные поля, 
в которых указывается принадлежность его владельцев к той или иной категории поль- 
зователей. Эта категория назначается сертифицирующей организацией в зависимости от 
условий, на которых выдается сертификат. Например, организация, поставляющая через 
Интернет на коммерческой основе информацию, может выдавать сертификаты определен- 
ной категории пользователям, оплатившим годовую подписку на некоторый бюллетень. 
В этом случае веб-сервер будет предоставлять доступ к страницам бюллетеня только 
пользователям, предъявившим сертификат данной категории. 


Подчеркнем тесную связь открытых ключей с сертификатами. Сертификат является удо- 
стоверением не только личности, но и принадлежности открытого ключа. 


Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его 
владельцем. 


Это предотвращает угрозу подмены открытого ключа. Если некоторый абонент А получаст 
по сети сертификат от абонента Б, то он может быть уверен, что открытый ключ, содержа- 
щийся в сертификате, гарантированно принадлежит абоненту Б, адрес и другие сведения 
о котором содержатся в этом сертификате. Это значит, что абонент А может без опасений 
использовать открытый ключ абонента Б для секретных посланий в адрес последнего. 


При наличии сертификатов отпадает необходимость хранить на серверах корпораций 
списки пользователей с их паролями, вместо этого достаточно иметь на сервере список 
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имен и открытых ключей сертифицирующих организаций. Может также понадобиться 

некоторый механизм для установления соответствия категорий владельцев сертификатов 

традиционным группам пользователей, чтобы можно было в неизменном виде задейство- 

вать механизмы управления избирательным доступом большинства операционных систем 
ли приложений. 


Сертификат является средством аутентификации пользователя при его обращении к се- 
тевым ресурсам, роль аутентифицирующей стороны играют при этом информационные 
серверы корпоративной сети или Интернета. В то же время и сама процедура получения 
сертификата также включает этап аутентификации, когда аутентификатором выступает 
сертифицирующая организация. Для получения сертификата клиент должен сообщить 
сертифицирующей организации свой открытый ключ и те или иные сведения, удостове- 
ряющие его личность. Все эти данные клиент может отправить по электронной почте или 
принести на съемном носителе лично. Перечень необходимых данных зависит от типа 
получаемого сертификата. Сертифицирующая организация проверяет доказательства 
подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, 
и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного 
ключа конкретному лицу. После этого сертификат может быть встроен в любой запрос на 
использование информационных ресурсов сети (рис. 27.8). 


Практически важным является вопрос о том, кто имеет право выполнять функции сер- 
тифицирующей организации. Во-первых, задачу обеспечения своих сотрудников серти- 
фикатами может взять на себя само предприятие. В этом случае упрощается процедура 
первичной аутентификации при выдаче сертификата. Предприятия достаточно осведом- 
лены о своих сотрудниках, чтобы брать на себя задачу подтверждения их личности. Для 
автоматизации процесса генерации, выдачи и обслуживания сертификатов предприятия 
могут использовать готовые программные продукты. Например, компания Ме 5саре 
Соттишсаноп$ выпустила сервер сертификатов, который организации могут у себя 
устанавливать для выпуска своих сертификатов. Во-вторых, эти функции могут выпол- 
нять независимые центры по выдаче сертификатов, работающие на коммерческой основе, 
например сертифицирующий центр компании \ег1ѕівп. Сертификаты компании Уег!$15п 
выполнены в соответствии с международным стандартом Х.509 и используются во мно- 
гих продуктах, ориентированных на защиту данных, в том числе в популярном протоколе 
защищенного канала $51. Любой желающий может обратиться с запросом на получение 
сертификата на веб-сервер этой компании. 


Механизм получения пользователем сертификата хорошо автоматизируется в сети в мо- 
дели «клиент-сервер», когда браузер исполняет роль клиента, а в сертифицирующей 
организации установлен специальный сервер выдачи сертификатов. Браузер генерирует 
для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично за- 
полненную форму сертификата серверу. Чтобы неподписанный еще сертификат нельзя 
было подменить при передаче по сети, браузер ставит свою электронную подпись, зашиф- 
ровывая сертификат выработанным закрытым ключом. Сервер сертификатов подписывает 
полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо 
способом владельцу. Очевидно, что при этом может выполняться еще и неформальная 
процедура подтверждения пользователем своей личности и права на получение сертифи- 
ката, требующая участия оператора сервера сертификатов. Это могут быть доказательства 
оплаты услуги, доказательства принадлежности к той или иной организации — все случаи 
жизни предусмотреть и автоматизировать нельзя. После получения сертификата браузер 
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Рис. 27.8. Схема аутентификации пользователей на основе сертификатов 
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сохраняет его вместе с закрытым ключом и использует при аутентификации на тех серве- 
рах, которые поддерживают такой процесс. В настоящее время существует большое коли- 
чество протоколов и продуктов, применяющих сертификаты. В частности, практически все 
браузеры и операционные системы реализуют поддержку сертификатов. 


Несмотря на активное использование технологии цифровых сертификатов во многих 
системах безопасности, эта технология еще не решила целый ряд серьезных проблем. Это 
прежде всего поддержание базы данных о выпущенных сертификатах. Сертификат выда- 
ется не навсегда, а на некоторый вполне определенный срок. По истечении срока годности 
сертификат должен либо обновляться, либо аннулироваться. Кроме того, необходимо пред- 
усмотреть возможность досрочного прекращения полномочий сертификата. Все заинтере- 
сованные участники информационного процесса должны быть вовремя оповещены о том, 
что некоторый сертификат уже недействителен. Для этого сертифицирующая организация 
должна оперативно поддерживать список отозванных сертификатов. 


Имеется также ряд проблем, связанных с тем, что сертифицирующие организации су- 
ществуют не в единственном числе. Все они выпускают сертификаты, но даже если эти 
сертификаты соответствуют единому стандарту (сейчас это, как правило, стандарт Х.509), 
то все равно остаются нерешенными многие вопросы. Все ли сертифицирующие центры 
заслуживают доверия? Каким образом можно проверить полномочия того или иного 
сертифицирующего центра? Можно ли создать иерархию сертифицирующих центров, 
когда сертифицирующий центр, стоящий выше, мог бы сертифицировать центры, распо- 
ложенные в иерархии ниже? Как организовать совместное использование сертификатов, 
выпущенных разными сертифицирующими организациями? 


Для решения этих и многих других проблем, возникающих в системах, использующих 
технологии шифрования с открытыми ключами, оказывается необходимым комплекс 


программных средств и методик, называемый инфраструктурой с открытыми ключами 
(РиБПс Кеу Іһітаѕігисёцге, РКІ). 


Рассмотренная схема аутентификации включает три основных элемента — это пользо- 
ватели, цифровые сертификаты и центры сертификации. Чтобы данная схема работала 
надежно и эффективно, в нее должны быть включены дополнительные элементы, которые 
в совокупности с основными и образуют РКІ. 


В число дополнительных элементов может входить, например, регистрационный центр 
(Керіѕігайоп Аш`огку), который служит посредником между пользователем, запросившим 
сертификат, и центром сертификации. Пользователь обычно обращается к регистрационно- 
му центру с помощью веб-интерфейса и сообщает данные о себе. Регистрационный центр 
проверяет эту информации и в случае ее подлинности передает данные о пользователе, под- 
писанные собственным закрытым ключом, центру сертификации. Регистрационный центр 
может обслуживать несколько центров сертификации. При отсутствии регистрационного 
центра его функции выполняет центр сертификации. 


Другим типом дополнительных элементов РК] являются разнообразные хранилища серти- 
фикатов, содержащие информацию о действующих, отозванных и истекших сертификатах. 


Аутентификация программных кодов 


Электронная подпись и сертификаты могут применяться для доказательства аутентич- 
ности (подлинности) программ. Пользователю важно быть уверенным, что программа, 
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которую он загрузил с какого-либо сервера Интернета, действительно содержит коды, 
разработанные определенной компанией. Компания М!сгозой предложила для этих целей 
технологию аутентикода (аи еписо4е). 


Организация, желающая подтвердить свое авторство на программу, должна встроить в рас- 
пространяемый код так называемый подписывающий блок — аутентикод (рис. 27.9). Этот 
блок состоит из двух частей. Первая часть — это сертификат организации-разработчика 
данной программы, полученный обычным образом от какого-либо сертифицирующего 
центра. Вторую часть образует зашифрованный дайджест, полученный в результате при- 
менения хеш-функции к распространяемому коду. Шифрование дайджеста выполняется 
с помощью закрытого ключа организации. 


| Подписывающий блок | 


Зашифрованный 


Сертификат 
ЕЕ. 
производителя 


Закрытый ключ (0, п) 
организации-производителя 


Дайджест программного 
кода (Т) 


Шифрование дайджеста 
по алгоритму КЅА 


[а(Т)] тод п 


Рис. 27.9. Схема получения аутентикода 


Компания -разработчик может потребовать от пользователя программы доказательство 
легальности ее приобретения — допустим, запросить регистрационный номер программы 
(Ргойџсѓ Ір или Ѕегіаї Мотђег), называемый также лицензионным ключом активации. 
Обычно этот номер пишется на отдельном бланке, прилагаемом к поставляемой програм- 
ме, наносится на улаковку или высылается по электронной почте при покупке программы 
через Интернет. 


Другим способом доказательства легальности приобретения и законности использования 
программных продуктов являются миниатюрные электронные устройства — электронные 
замки, подобные уже рассмотренным нами аппаратным аутентификаторам. Эти устройства 
поставляются вместе с защищаемыми от нелегального использования программами. Перед 
запуском программы электронный замок должен быть подключен к компьютеру, напри- 
мер, через О$В-порт. Инициирующий блок программы обращается к данному устройству 
с запросом и, получив «правильный» ответ, начинает работать. Если же ожидаемый ответ 
не поступает, то выполнение программы блокируется. Таким образом, электронный замок 
действует как специфический аутентификатор пользователя, доказывающий то, что он 
является законным владельцем программы. 


($) Биометрическая аутентификация 
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Аутентификация пользователей ОС 


Существует две принципиально отличные схемы аутентификации, реализуемые опера- 
ционными системами и специальными сетевыми службами. В одной из них, которую мы 
будем называть локальной системой аутентификации, ОС работает в пределах одного 
компьютера: она задействует базу аутентификационных данных пользователей, причем 
результаты аутентификации могут применяться только для доступа к ресурсам этого 
компьютера. 


По другой схеме работает так называемая система аутентификации домена: она базируется 
на центральной базе аутентификационных данных пользователей групиы компьютеров 
(домена аутентификации), хранящейся на одном из серверов сети, и результаты аутенти- 
фикации служат для доступа к ресурсам данпого домена. 


Локальная система аутентификации ОС работает при логическом входе пользователя как 
с терминала компьютера, так и через сеть. Первый вариант называют интерактивным 
логическим входом, второй — удаленным (сетевым, или неинтерактивным). Понятно, что 
при удаленном логическом входе риски безопасности выше, так как аутентификационные 
данные передаются через ссть — корпоративную или Интернет -- и их легче перехватить. 
Перехват данных аутентификации представляет собой угрозу даже в случае строгой аутен- 
тификации, когда пароль не передается в открытом виде по сети или же не передается 
вовсе — при наличии большого массива аутентификационных данных, то есть данных 
перехватов большого количества процедур входа одного и того же пользователя, пароль 
может быть вычислен по имеющимся результатам его ввода. 


Хотя локальные системы аутентификации ОС поддерживают все распространенные 
методы аутентификации -- на основе многоразовых и одноразовых паролей (аппаратных 
и программных), биометрических данных и цифровых сертификатов, — основным методом 
аутентификации пользователей является метод на базе многоразового пароля. Практически 
все универсальные ОС (М5 УЛп4о\$, Отіх/іпих и МАС ОЗ Х) предлагают этот метод 
по умолчанию. 


Одноразовые пароли, обеспечивающие более надежную аутентификацию, чем многоразо- 
вые, чаще применяются при удаленном логическом входе через соединения УРМ с шифро- 
ванием информации, где передача аутентификационной информации идет через Интернет 
и, следовательно, риск ее перехвата и взлома особенно велик. Одноразовые пароли могут 
сочетаться с многоразовыми при двухфакторной аутентификации. 


Аутентификация на основе сертификатов применяется чаще всего для удаленно работа- 
ющих пользователей, которые предъявляют сертификаты, выданные сервером сергифи- 
кации, организации, к которой принадлежит пользователь. 


Аутентификация на основе биометрических данных штатными средствами универсальных 
ОС обычно не поддерживается, так как их повышенная надежность нужна только в особо 
защищенных системах. Кроме того, для поддержки биометрической аутентификации тре- 
буется приобрести и установить соответствующее специальное программное обеспечение 
и специальные устройства. 


Необходимо отличать процедуру аутентификации пользователя ОС от процедуры аутен- 
тификации пользователя серверной части некоторого приложения. Многие серверные 
приложения имеют собственную систему аутентификации пользователей, никак не свя- 
занную с системой аутентификации ОС, под управлением которой они работают. Неза- 
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висимость системы аутентификации сервера приложений имеет как положительные, так 
и отрицательные стороны. Преимуществом здесь является разграничение по умолчанию 
пользователей ОС, которым потенциально может понадобиться доступ к любому ресурсу 
компьютера, и пользователей некоторого сервиса, которым нужен доступ только к ресур- 
сам, относящиеся к данному сервису, например, только к файлам, хранящимся в корневом 
каталоге ЕТР-сервера. К недостаткам же можно отнести низкую защищенность протокола 
аутентификации некоторых приложений, а также необходимость запоминания двух раз- 
личных имен и паролей для одного и того же пользователя, ошибки администраторов ОС 
и сервисов из-за дублирования учетных записей и т. п. 


Технологии управления доступом 
и авторизации 


После того как пользователь, пройдя аутентификацию, доказал свою легальность, 
ему предоставляется некоторый набор прав по отношению к защищаемым системой 
ресурсам. 


Наделение легальных пользователей правами доступа к ресурсам называется авторизацией. 
Процедура приведения авторизации в действие называется управлением доступом (ассез$ 
соо). 


Если, например, субъект пытается использовать ресурс с запрещенным для него типом 
доступа, то механизм управления доступом должен отклонить эту попытку и, возможно, 
уведомить систему об этом инциденте с целью генерации сигнала тревоги 


Формы представления ограничений доступа 


При решении задачи управления доступом необходимо руководствоваться приниипом 
минимальных привилегий. В соответствии с ним каждому субъекту в системе должен быть 
назначен минимально возможный набор прав, достаточный для решения именно тех за- 
дач, на которые он уполномочен. Применение этого принципа ограничивает те возможные 
потери, которые могут быть нанесены в результате неумышленных ошибок или неавтори- 
зованных действий. 


Ограничение доступа может задаваться в форме правил. На основании правила система 
управления доступом в любой момент времени динамически решает вопрос о предостав- 
лении или непредоставлении доступа. Правило может строиться с учетом различных 
факторов, в том числе длительности сеанса связи (ограничение доступа по времени ис- 
пользования ресурса), возраста человека (ограничение для детей на доступ к некоторым 
сайтам), времени суток (разрешение на использование ресурсов и сервисов Интернета 
только в рабочие часы). Популярной мерой ограничения доступа в Интернет является 
капча (сарсһег) — субъекту, обратившемуся с запросом к ресурсу, предлагается ввести 
символы, выведенные на экран в таком искаженном виде, в котором их сможет распознать 
только человек, — таким образом исключается доступ к ресурсам искусственных субъектов 
(программных систем). 
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Для ограничения доступа используются также контентно- и контекстно-зависимые пра- 
вила. Например, в компании может быть принято правило, в соответствии с которым не- 
которым категориям пользователей запрещается доступ к документам, содержащим те или 
иные ключевые слова или фразы: «для ограниченного использования», «секретно», слова, 
обозначающие кодовое название проекта, и др. Ограничения могут быть наложены и на 
доступ к ресурсам, содержащим текст на иностранном языке. Это примеры контентно-за- 
висимых правил. В контекстно-зависимых правилах принимаются во внимание некоторые 
факторы, характеризующие текущее состояние среды и/или предысторию (контекст) за- 
проса. Простейшим правилом такого рода является отказ в доступе пользователю, который 
сделал подряд три безуспешные попытки аутентификации. 


Эффективным средством ограничения доступа является конфигурирование пользователь- 
ского интерфейса. Таким путем пользователь может быть лишен возможности не только 
обращаться к тем или иным каталогам и файлам, но и возможности видеть на своем экране 
часть структуры файловой системы, доступ к которой ему запрещен. Администратор может 
настроить систему меню пользовательского интерфейса так, что некоторые пункты этих 
меню не будут выводиться на экран, что исключит принципиальную возможность запуска 
пользователем части функций. 


Матрица прав доступа является универсальной и наиболее гранулированной (то есть 
тонко дифференцированной) формой представления политики контроля доступа, она 
директивно, «в лоб» описывает для каждого пользователя набор конкретных операций, 
которые ему разрешается выполнять по отношению к каждому объекту (рис. 27.10). 


Читать 


и записывать и записывать 


Читать Нет доступа Читать 
и записывать 
Записывать | Нет доступа Читать 


Рис. 27.10. Матрица прав доступа 


Матричный способ описания прав доступа теоретически дает возможность отразить все 
многообразие отношений субъектов и объектов системы для всех возможных сочетаний 
{субъект, объект, назначенные права}. Однако этот универсальный способ представления, 
как правило, очень сложно реализовать на практике из-за громоздкости матрицы, учи- 
тывая огромное число элементов — как субъектов, так и объектов — в вычислительной 
системе. 


Особенностью матрицы прав доступа является не только ее большая размерность, но 
и наличие большого числа нулевых элементов. Такой вид матриц в математике называют 
разряженными. Нулевое значение здесь говорит о том, что для данного сочетания {субъект, 
объект} права доступа не определены, а именно такие сочетания составляют большинство 
в реальных системах. Свойство разреженности матрицы может быть использовано для 
более компактного представления правил доступа. 
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С каждым объектом можно связать список управления доступом (Ассеѕѕ Сошго! 115%, 
АСІ), в котором указаны только те субъекты (пользователи), которые имеют разрешения 
на доступ к данному объекту (файлу). Ясно, что количество субъектов в данном списке 
будет значительно меньше общего числа субъектов системы. Такие списки должны быть 
созданы для всех ресурсов. Способ описания прав доступа набором списков столь же 
универсальный и гибкий, как матрица, но вместе с тем имеет и более компактный вид, 
поскольку не включает пустые элементы матрицы (рис. 27.11, а). 


Объект 
ЕіІе 1 


чуве | ач | Объект Объект Объект 

с В р | 1 №3 | ЕИе 1 іе 2 ЕИе 3 

Читать Читать и Нет Нет 
записывать доступа доступа 


а 6 


Читать и 
записывать 


Читать и 


записывать 


Рис. 27.11. а — список управления доступом к объекту; 
б — список разрешений пользователя Оѕег 2 


Права доступа могут быть определены как по отношению к ресурсам, так и по отношению 
к пользователям. В последнем случае его называют списком разрешений (сара Ку). На 
рис. 27.11, 6 показан список разрешений, которые имеет пользователь Озег 2 по отношению 
к ресурсам Ее 1, Ее 2 и Ее З. 


Очевидно, что совокупность списков управления доступом ко всем ресурсам системы несет 
ту же самую информацию, что и совокупность списков разрешений для всех пользователей, 
так как и те и другие являются разными проекциями одной и той же матрицы. В одних 
реализациях систем управления доступом (например, в большинстве операционных 
систем) применяются ограничения, заданные для объекта (АСТ.), а в других (например, 
в некоторых расширениях системы КегБегоѕ, включающих авторизацию) — ограничения 
для субъекта (списки разрешений). 


Другим способом «сжатия» матрицы является определение прав доступа для групп субь- 
ектов по отношению к группам объектов. Такое представление возможно, когда многие 
элементы матрицы имеют одинаковое значение, что соответствует ситуации в реальной 
системе, когда некоторая группа пользователей имеет одинаковые права. Это дает воз- 
можность компактно описать права доступа с помощью матрицы меньшей размерности. 


В некоторых случаях, если существует простое правило определения прав доступа, хране- 
ние матрицы вообще не требуется, поскольку значения ее элементов могут вычисляться 
системой управления доступом динамически. Например, пусть все объекты и субъекты 
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системы изначально снабжены метками из одного и того же множества. Кроме того, пред- 
положим для простоты изложения, что для всех объектов определен только один вид 
операции доступа. Допустим также существование следующего правила: доступ к объекту 
разрешен, если метки субъекта и объекта совпадают, и не разрешен, если не совпадают. 
Имея такое правило, нет смысла заранее создавать и хранить матрицу — проще вычислять 
соответствующий элемент при каждой попытке доступа. 


Ранее мы рассматривали различные подходы к хранению и представлению информации 
о правах доступа, не придавая значения тому, каким именно образом они были назначены. 
Однако способ назначения прав — авторизация — существенно влияет на способ управ- 
ления доступом. 


Существует два основных подхода к авторизации: 


Ч для авторизации выделяется особый полномочный орган (аи фогку), который принимает 
все решения о наделении пользователей правами относительно всех объектов; 


О функции принятия решений по авторизации делегируются некоторым субъектам. 


Каждый из этих двух подходов управления доступом может быть реализован множеством 
различных способов, отражающих разные методы задания и приведения в исполнение 
ограничений. однако большинство реализуемых на практике способов может быть отнесено 
к одной из следующих категорий: 


Ч дискреционный метод доступа (ПО!5сгейопагу Ассеѕѕ Сопіго!!, РАС), называемый также 
избирательным или произвольным; 


О мандатный метод доступа (Мапааѓогу Ассеѕѕ Сопѓго]2, МАС), называемый также при- 
нудительным; 


О ролевой доступ (Ко!е-Базе4 Ассеѕѕ Сопіго]. КВАС), называемый также недискрецион- 
ным методом доступа (попаіѕсгеііопагу ассеѕѕ сопёго]). 


Помимо этих методов «в чистом виде», система управления доступом может базироваться 
и на их комбинации. 


Дискреционный метод управления доступом 


Одно из первых систематических изложений принципов РАС было предпринято 
в 1987 году в документе МСЗС-ТС-003-87, «Руководство по дискретному управлению 
доступом». В то время модель РАС была самой распространенной схемой управления 
доступом и, кстати, таковой она остается и по сегодняшний день — большинство универ- 
сальных ОС реализуют дискреционную модель. В документе МСС дается следующее 
определение метода РАС: 


Дискреционный метод представляет собой средство ограничения доступа к объектам, бази- 
рующееся на уникальных идентификаторах субъекта и/или групп, к которым этот субъект отно- 
сится. Управление доступом в методе [АС является дискреционным, или произвольным, — в том 
смысле, что субъект, обладающий некоторыми разрешениями на доступ к объектам, может по 
своему усмотрению передать часть своих полномочий (иногда прямо, а иногда — опосредованно) 
другим субъектам. 


1 Р15сгейопагу — действующий по своему усмотрению. 
2 Мапдасогу — обязательный, принудительный. 
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Отсюда следуют две главные особенности дискреционного метода: 


С Права доступа в методе РАС описываются в виде списков АСЕ, которые дают возмож- 
ность гибкого и гранулированного определения набора разрешенных операций для 
каждого отдельного пользователя по отношению к каждому отдельному ресурсу, причем 
и пользователи, и ресурсы задаются уникальными идентификаторами. 


О В методе РАС право назначать права на доступ к объектам делегируются отдельным 
пользователям — владельцам объектов. То есть им разрешается действовать по своему 
усмотрению и назначать другим пользователям права на доступ к тем объектам, вла- 
дельцами которых они являются. 


Таким образом, процедура авторизации является распределенной между множеством 
пользователей-владельцев. Владельцами считаются пользователи, создавшие объект, 

ли пользователи, которые были назначены владельцами другими уполномоченными на 
то пользователями или системными процессами. Владелец имеет полный контроль над 
созданным им объектом и несет всю полноту ответственности за управление доступом 
к нему. Вместе с тем он может назначать права доступа к своим объектам, руководствуясь 
некоторым правилом, принятым на предприятии. 


Основным достоинством метода ОАС является его гибкость, обусловленная свободой 
пользователей наделять правами или аннулировать права других пользователей на до- 
ступ к своим ресурсам, а также возможностями тонкой настройки набора разрешенных 
операций. Однако это достоинство имеет свою оборотную сторону. 


Как и всякая распределенная система, система управления доступом по методу РАС 
страдает от невозможности гарантированно проводить общую политику, осуществлять 
надежный контроль действий пользователей. Любая политика безопасности, принятая на 
предприятии, может быть нарушена в результате ошибочных или вредительских действий 
пользователей. 


Другой недостаток дискреционного метода связан с тем, что здесь права на доступ опре- 
деляются по отношению к объекту, а не его содержимому. Это означает, что любой поль- 
зователь (точнее, его процесс), имеющий доступ к файлу согласно некоторому спи- 
ску АСІ1, может скопировать его содержимое в другой файл, характеризуемый другим 
списком АСТ.2. Это показывает, что системы с контролем доступа по методу РАС не могут 
применяться там, где требуется очень высокий уровень защиты информации. 


($) Недостатки метода БАС 


Мандатный метод управления доступом 


Мандатный доступ позволяет реализовать системы, отвечающие самым строгим требованиям 
безопасности, — как правило, они используются в правительственных и военных учреждениях 
или в других организациях, для которых чрезвычайно важен высокий уровень защиты данных. 


К основным чертам мандатного метода управления доступом можно отнести следующие: 


О авторизацию и управление доступом осуществляет центральный полномочный орган, 
отвечающий за безопасность (обычно в роли такого органа выступает ОС); 
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О решение о предоставлении права доступа принимается ОС динамически на основе 
простого правила, которое разрабатывается уполномоченными на то лицами на основе 
политики безопасности. 


Простота правил достигается тем, что и субъекты, и объекты разбиваются на небольшое 
число групп. Каждой группе объектов присваивается уровень (гриф) секретности, а груп- 
пам субъектов — уровни допуска к объектам того или иного уровня секретности. В раз- 
ных системах могут быть приняты разные правила, но все они базируются на сравнении 
уровня секретности объекта и уровня допуска субъекта. Например, правило может быть 
следующим: субъекту разрешается доступ к объекту, если уровень его допуска равен или 
выше уровня секретности объекта. На рис. 27.12 это правило представлено в виде матрицы. 


Уровень 
от Уровень 
«совершенно | от «секретно» 
секретно» и ниже 
и ниже 


Уровень 
данных для 
служебного 
пользования 


Совершенно | Доступ 
секретно разрешен 


Секретно Доступ Доступ 
разрешен разрешен 


Данные для 
служебного 
пользования 


Доступ Доступ Доступ 
разрешен разрешен разрешен 


Рис. 27.12. Правило мандатного доступа, представленное в виде матрицы 


Пользователи должны принимать решение системы как данность, они лишены возмож- 
ности управлять доступом к своим ресурсам или передавать свои права другим пользова- 
телям. В отличие от систем РАС, мандатный доступ имеет централизованный характер 
и позволяет жестко проводить принятую политику безопасности. 


Элементы, описывающие уровни секретности объектов или уровни допуска субъектов, 
называют метками безопасности (ѕесигісу Іабе[ѕ). Мандатный метод управления доступом 
предусматривает назначение меток безопасности всем без исключения субъектам и объ- 
ектам системы с тем, чтобы в дальнейшем они использовались системой для принятия 
решений о допуске. 


В большинстве случаев для адекватного отражения политики безопасности невозможно 
сформулировать правило, основанное на учете только уровней секретности и допусков. 
К одному и тому же уровню секретности могут быть отнесены самые разные материалы, 
а в соответствии с принципом минимальных привилегий пользователь должен получать 
доступ только к той информации, которую ему необходимо знать. Чтобы сделать возмож- 
ным более специфическое задание прав доступа, в мегки безопасности объекта и субъекта 
добавляется информация о конкретном виде данных, к которому относится данный объект 
или к которому разрешен доступ данному субъекту соответственно. 


Таким образом, каждая метка безопасности состоит из двух частей (рис. 27.13): 
О часть, отражающая уровень секретности/допуска, называется классификацией; 


О часть, характеризующая специфику информации, называется категорией. 
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Метка безопасности 


Классификация Категории 


• Документы 
Совершенно операции «Вихрь» 
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• Документы отдела 
киберпреступности 


Рис. 27.13. Структура метки безопасности объекта/субъекта 


Категория относит данные к определенному виду информации. Например, разные ка- 
тегории могут быть присвоены материалам, относящимся к разным проектам, разным 
административным подразделениям, разным профессиональным группам. Одному и тому 
же объекту/субъекту может быть присвоено несколько категорий. Так, отчет о завершении 
этапа некоторой антигеррористической операции может быть отнесен не только к катего- 
рии материалов, касающихся данной операции, но и дополнительно к категории матери- 
алов подразделения, занимающегося этой работой. Объекты одной категории могут быть 
классифипированы по-разному, например, одна часть отнесена к более высокому уровню 
секретности, а другая часть -- к более низкому. 

Правило, определяющее право доступа, строится на анализе обеих частей меток без- 
опасности объекга и субъекта. Доступ разрешается, если выполняются следующие два 
условия: 


О классификация субъекта равна или выше классификации объекта; 


О по меньшей мере. одна из категорий объекта, к которому пытается получить доступ 
субъект, совпадаст хотя бы с одной из категорий данного субъекта. 

Рисунок 27.14 иллюстрирует соотношение между классификацией и категорией. Здесь 
цвет кружков служит для обозначения разных категорий объектов. На рисунке показано 
три уровня классификации: «совершенно секретно», «секретно» и «для служебного поль- 
зования». Объекты одной категории могут принадлежать разным уровням классифика- 
ции. В метке безопасности субъекта указана классификация «секретно» и перечислены 
две категории, к которым ему разрешен доступ. Стрелками показаны три попытки досту- 
па. Попытка обращения к уровню «совершенно секретно» была заблокирована системой 
из-за недостаточно высокого уровня допуска субъекта. Обращение к объекту уровня 
«секретно» была разрешена, так как классификация субъекта равна классификации 
объекта, а категория объекта совпала с одной из категорий, указанных в метке безопас- 
ности субъекта. Понытка доступа к объекту уровня «для служебного пользования» была 
пресечена, хотя субъект и имеет более высокий уровень допуска («секретно»). В данном 
случае ограничением служит категория объекта, которая не совпадает ни с одной из 
категорий субъекта. 

Мандатный доступ, как уже отмечалось, является более безопасным, чем дискрецион- 
ный, но для его эффективной реализации требуется большой объем подготовительной 
работы, а после запуска системы необходимо поддерживать в актуальном состоянии 
метки безопасности существующих объектов, а также назначать метки новым ресурсам 
и пользователям. 
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Рис. 27.14. Правило мандатного доступа 


Ролевое управление доступом 


Ролевой метод управления доступом более приближен к реальной жизни, чем дискре- 
ционный и мандатный методы. Как видно из названия, основным его свойством является 
использование «ролей». 


Понятие «роль» в данном контексте ближе всего к понятию «должность» или «круг 
должностных обязанностей». Поскольку одну и ту же должность может занимать не- 
сколько людей, то и одна и та же роль может быть приписана разным пользователям. 
Роли устанавливаются для целей авторизации. Набор ролей должен некоторым образом 
(не однозначно) соответствовать перечню различных должностей, существующих на 
предприятии, к которому эта система относится. Ролевая система доступа лучше всего 


работает в организациях, в которых существует четкое распределение должностных 
обязанностей. 


Разрешения приписываются ролям, а не отдельным пользователям или группам пользо- 
вателей (рис. 27.15). Затем те или иные роли приписываются пользователю. Например, 
в системе управления доступом, развернутой в банке, всем юристам приписана роль 
«юрист», трейдерам — роль «трейдер», менеджерам — роль «менеджер» и т. д. Процесс 
определения ролей должен включать тщательный анализ того, как функционирует ор- 
ганизация, какой набор функций должен выполнять работник, имеющий ту или иную 
должность. Каждой из ролей назначаются права доступа, необходимые и достаточные 
пользователям для выполнения служебных обязанностей, обусловленных приписыва- 
нием к данной роли. 
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Рис. 27.15. Схема авторизации в системах управления доступом на основе ролей 


Каждому пользователю может быть приписано несколько ролей (с некоторыми ограни- 
чениями, о которых рассказано далее). Во время сеанса работы пользователя все роли, 
которые ему назначены, становятся активными и пользователь получает права доступа, 
являющиеся результатом объединения прав доступа всех этих групп. 


Все пользователи, играющие одну и ту же роль, имеют идентичные права. Изменение про- 
изводственной ситуации: расширение бизнеса, внедрение новых технологий, продвижение 
сотрудника по служебной лестнице, перевод сотрудника в другое подразделение и др. -- все 
это может вызвать аннулирование одной роли пользователя и приписывание ему другой 
роли. Такой подход упрощает администрирование прав доступа: вместо необходимого в дис- 
креционном и мандатном методах отслеживания и обновления прав каждого отдельного 
пользователя, в ролевом методе достаточно изменить роль или заменить одну роль другой. 
Таким образом, к особенностям ролевого управления доступом можно отнести следующее: 


О Ролевой метод управления доступом сочетает в себе черты мандатного и дискреци- 
онного методов. 


О Ролевую систему управления доступом легче администрировать и контролировать, 
чем дискреционную. В дискреционной системе права назначаются пользователю 
«мелкими порциями»: запись в определенный файл, чтение другого файла, запуск не- 
которой программы и т. п. Такой способ позволяет с ювелирной точностью создавать 
и индивидуально настраивать комплекс прав доступа пользователя, однако он является 
очень трудоемким, вследствие чего возрастает возможность ошибок. В ролевой системе 
права доступа выдаются в виде «глыбы» — интегрированного набора разрешений, рас- 
считанных на возможность выполнения некоторых относительно сложных операций: 
заполнение кредитного документа, генерация отчетов и др. 


Ц Ролевой доступ является централизованным методом — так же, как и в мандатном 
методе, пользователь лишен возможности управлять назначением прав. Назначение 
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пользователю роли можно считать некоторым аналогом приписывания уровня допуска 
пользователю мандатной системы. Однако ролевой доступ является более гибким, чем 
мандатный, а по возможностям настройки прав доступа ролевой доступ ближе к дис- 
креционному. 


О Ролевой метод доступа нельзя отнести к хорошо масштабируемым. Он эффективно 
работает в пределах единой системы или приложения, таких, например, как ЕгееВЗО, 
СУБД Огабе, М5 Асиуе Юігесѓогу, но на больших предприятиях, численность персона- 
ла которых составляет тысячи сотрудников, поддержание множества ролей становится 
сложной и запутанной задачей. Занимая промежуточное положение между мандатным 
и дискреционным методами, ролевое управление доступом уступает им обоим в мас- 
штабируемости. В мандатном методе централизованный характер принятия решений 
(который не способствует масштабируемости) компенсируется простотой выполняе- 
мого алгоритма назначения прав. В дискреционном же методе, напротив, сложность 
механизма наделения правами компенсируется распределенным характером процедуры 
принятия решений. 


Управление доступом в операционных системах 


Что касается систем управления доступом в универсальных ОС, то там доминирует дискре- 
ционная модель управления доступом; согласно этой модели владелец ресурса (пользова- 
тель, который его создал или которому передано владение) самостоятельно определяет, кто 
имеет доступ к этому ресурсу и какие операции с ним он может выполнять. Практически 
все популярные сегодня семейства универсальных ОС — Шпіх/Шпих/СепсОѕ$ /ОБипси, 
Мас ОЅ Х, М5 УЛп4о\$ — опираются на дискреционную модель доступа как основную. 


Мандатная модель — это особенность специализированных ОС, рассчитанных на примене- 
ние в среде с повышенными требованиями к безопасности. Тем не менее существует набор 
модулей ядра [іпих под названием ЗЕ лпих (Ѕесигіќу Епһапсеа Шіпих), который реализует 
многие свойства мандатной модели в среде [1пих. 


Ролевая модель применяется в универсальных ОС частично в виде механизма встроенных 
групп с предопределенными правами, сосуществуя с моделью дискреционного доступа для 
индивидуальных пользователей и групп. 


($) Особенности аутентификации в ОС семейства Ипих и управление доступом в ОС се- 
мейства И/таом/5 


Централизованные системы 
аутентификации и авторизации 


Традиционный способ аутентификации с помощью многоразовых паролей отлично под- 
ходит для случая, когда пользователь все время работает с единственным компьютером, 
обращаясь только к его ресурсам и ресурсам Интернета, не требующим аутентификации. 
Такому пользователю нужно запоминать и периодически менять только один пароль. 
Однако более типичным является случай, когда пользователю приходится работать на 
разных географически рассредоточенных компьютерах — рабочем стационарном ком- 
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пьютере, домашнем стационарном компьютере, личном планшете, гостевом компьютере 
предприятия-партнера — и при этом получать доступ к различным серверам: серверам 
своего предприятия, серверам предприятия-партнера, к защищенным веб-сайтам Ин- 
тернета и др. 


В том случае, когда каждый компьютер и каждый сервер требует отдельной аутентифи- 
кации с помощью многоразового пароля, пользователю приходится помнить и обновлять 
довольно много паролей, и с этой задачей многие пользователи справляются не очень 
успешно. Согласно исследованию, проведенному Ме \хогк АррПсайоп$ Сопѕогііит, около 
70 % звонков пользователей в службу ИТ-поддержки связано с просьбой восстановления 
забытого пароля, а в среднем пользователь крупной корпоративной сети тратит на про- 
цедуры логического входа 44 часа в год. Неудивительно, что большие усилия затрачива- 
ются на разработку процедур так называемого единого логического входа. 


Целью единого логического входа (Зпае Ѕідп Оп, 550) является создание такого порядка 
аутентификации, при котором пользователь выполняет вход в сеть только один раз, доказывая 
свою аутентичность с помощью любого способа аутентификации, а затем результат этой аутен- 
тификации прозрачным для пользователя способом применяется каждый раз, когда ему нужно 
доказывать свою аутентичность какому-либо другому серверу или приложению. 


В настоящее время не существует системы аутентификации, реализующей концепцию 
единого логического входа, которая бы работала со всеми типами операционных систем, 
приложений и при этом учитывала бы разнообразные отношения между организациями, 
к которым принадлежат пользователи и информационные ресурсы. Однако имеются си- 
стемы, позволяющие организовать единый логический вход для однородной в каком-то 
отношении информационной системы, например для сети, использующей только одну 
определенную ОС или один определенный протокол аутентификации, либо для группы 
организаций, доверяющих друг другу при аутентификации своих пользователей. Так, на- 
пример, свойство однородности операционных систем является условием применимости 
системы единого входа на основе справочной службы М1сгозоЁ Асйуе Юігесѓогу. 


Схема, иллюстрирующая идею систем единого логического входа, представлена на 
рис. 27.16. 


В этой схеме имеются три элемента: 


Ц Пользователь, который располагает некоторой информацией, достаточной для его 
аутентификации. Это может быть информация любого типа из упомянутых ранее — 
многоразовый пароль, одноразовый пароль, цифровой сертификат, биометрические 
данные ит. п. На рисунке в качестве примера показан вариант аутентификации 
на основе многоразового пароля, здесь 10 — идентификатор, Р№ — многоразовый 
пароль. 


О Провайдер идентичности (14епеку Ргоуійег) — это система, которая может аутентифи- 
цировать пользователя на основе базы данных учетных записей пользователей. Этот 
элемент может иметь и другие названия, например сервер аутентификации. 


О Провайдер сервисов (Ѕегуісе Ргоуійег), называемый также ресурсным сервером, -- это 
система, предоставляющая сервисы пользователям. Такими сервисами могут быть фай- 
ловый сервис, почтовый сервис, веб-сервис, сервис баз данных ит. п. Предполагается, 
что сервис предоставляется только аутентифицированным пользователям. 
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Рис. 27.16. Схема единого логического входа 


Особенность схемы — в том, что база учетных данных имеется только у провайдера иден- 
тичности, а провайдер сервисов доверяет результатам аутентификации пользователей, 
выполненной провайдером идентичности. Говорят, что в таком случае существуют довери- 
тельные отношения (газ геіаііопѕһірѕ) между провайдером идентичности и провайдером 
сервисов. 


Пользователь выполняет логический вход в сеть, обращаясь к провайдеру идентичности. 
Если пользователь смог подтвердить свою аутентичность, то провайдер идентичности 
предоставляет пользователю некоторую информационную структуру — токен доступа, 
который пользователь хранит в своей базе данных. При необходимости получения доступа 
к некоторому сервису пользователь предъявляет токен доступа ресурсному серверу. Токен 
доступа защищен криптографически таким образом, что ресурсный сервер имеет возмож- 
ность убедиться, что токен был выдан пользователю сервером аутентификации, которому 
ресурсный сервер доверяет аутентифицировать пользователей. Говорят, что в этом случае 
происходит вторичная аутентификация пользователя, но для самого пользователя она 
прозрачна, так как предъявлением токена доступа занимается программное обеспечение 
его компьютера. 


Токен доступа обычно имеет ограниченное время действия, например сутки, поэтому 
пользователь должен его возобновлять, повторяя процедуру с сервером аутентификации. 


Примером системы аутентификации, реализующей концепцию единого логического входа, 
является протокол и основанная на нем сетевая служба КегБегоѕ. 


($) Классификация систем единого логического входа 


($) Система Кегрегоѕ 


на основе анализа 
трафика 


Фильтрация 


Под фильтрацией трафика понимается обработка ІР-пакетов маршрутизаторами и фай- 
ерволами, приводящая к отбрасыванию некоторых пакетов или изменению их маршрута. 
Фильтрация трафика позволяет либо предотвратить атаку на сеть, заранее блокируя доступ 
к ней для некоторых внешних сетей и хостов, либо, если источник атаки не был предвари- 
тельно заблокирован, остановить ее. 


Условия фильтрации бывают самыми разными, поэтому не всегда удается найти простой 
признак, по которому одни пакеты нужно пропускать, а другие — отбрасывать. К тому же 
такое условие почти всегда является компромиссом между предотвращением атаки и под- 
держанием должной функциональности защищаемого узла — чем больше потенциальных 
атак мы предотвращаем, тем больше урезаем функции узла ТСР/ІР, связанные с его 
обычной работой. Поэтому фильтрацию можно рассматривать как инструмент, который 
может быть как полезным, так и опасным, поэтому им надо уметь пользоваться. Еще одним 
аргументом в пользу тщательного рассмотрения условий фильтрации перед ее примене- 
нием является потенциальное замедление продвижения трафика при его фильтрации, так 
как проверка условий фильтрации — это дополнительное действие, и маршрутизатор или 
файервол может не справиться с такой дополнительной работой вовремя. 


Виды фильтрации 


Выборочная передача кадров/пакетов маршрутизатором осуществляется на основе стан- 
дартных и дополнительных правил, называемых также фильтрами. 


Стандартные правила фильтрации присущи не только маршрутизаторам, но и другим 
коммуникационным устройствам — концентраторам и коммутаторам. Эти правила опре- 
деляют способ функционирования устройств. Так, стандартное (функциональное) правило 
фильтрации для кониентратора заключается в том, что кадр, поступивший на любой его 
интерфейс, независимо от адреса назначения кадра повторяется на всех остальных его 
интерфейсах. Коммутатор же функционирует в соответствии с правилом, когда кадр, 
имеющий некоторый адрес назначения, повторяется только на том интерфейсе, к кото- 
рому подключена подсеть, имеющая в своем составе узел с данным адресом. Что касается 
стандартных правил фильтрации для маршрутизатора, то они состоят в том, что пакет, 
поступивший на входной интерфейс, перемещается на тот или иной интерфейс (или отбра- 
сывается) на основе адресной таблицы маршрутизатора, в которой учитываются параметры 
маршрутов и пакетов. 
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Дополнительные правила фильтрации, или пользовательские фильтры, задаются се- 
тевыми администраторами, исходя из политики безопасности либо с целью изменения 
стандартных маршрутов. Дополнительные правила фильтрации маршрутизаторов! могут 
учитывать: 


ІР-адреса источника и приемника; 
МАС-адреса источника и приемника; 
идентификаторы интерфейсов, с которых поступают пакеты; 


типы протоколов, сообщения которых несут ІР-пакеты (ТСР, ОРЮР, ІСМР ОЗРЕ); 


оооооео 


номера портов ТСР/ОРР (то есть типы протоколов прикладного уровня). 


При наличии пользовательского фильтра маршрутизатор сначала сравнивает описываемые 
этим фильтром условия с признаками пакета и при положительной проверке выполняет 
над пакетом ряд нестандартных действий. Например, пакет может быть отброшен; на- 
правлен следующему маршрутизатору, отличающемуся от того, который указан в таблице 
маршрутизации; помечен как вероятный кандидат на отбрасывание при возникновении 
перегрузки. Одним из таких действий может быть и обычная передача пакета в соответ- 
ствии с записями таблицы маршрутизации. 


Фильтрация может преследовать разные цели, в том числе логическую структуризацию 
сети, нестандартную маршрутизацию, защиту сети от вредительского трафика. 


Логическая структуризация, то есть разделение компьютерной сети на подсети и сегменты, 
самым непосредственным образом влияет на ее эффективность. Инструментом логической 
структуризации является фильтрация пользовательского трафика, проходящего через 
интерфейсы сетевых устройств на основе стандартных правил. 


Нестандартная маршрутизация реализуется за счет фильтрации маршрутных объявлений. 
Протоколы маршрутизации, обмениваясь маршрутными объявлениями, создают таблицы 
маршрутизации, на основе которых любой узел составной сети может связываться с любым 
другим узлом. Благодаря этому принципу дейтаграммных сетей каждый пользователь 
Интернета может получить доступ к любому публичному сайту (напомним, в сетях, осно- 
ванных на технике виртуальных каналов, действует другое правило: взаимодействие про- 
извольных узлов невозможно без предварительной процедуры установления между ними 
виртуального канала). Однако такая всеобщая достижимость узлов в ІР-сетях не всегда 
отражает потребности их владельцев, поэтому многие маршрутизаторы поддерживают 
фильтрацию объявлений протоколов маршрутизации, что позволяет дифференцированно 
управлять достижимостью узлов. Подчеркнем, фильтрация трафика в целях безопасности 
является важным средством защиты от атак. Функцию фильтрации поддерживают фай- 
ерволы разного типа, в том числе файерволы на базе маршрутизаторов. 


Правила фильтрации маршрутизаторов Сіѕсо 


Рассмотрим примеры пользовательских фильтров, написанных на командном языке 
маршрутизаторов Сіѕсо. Эти фильтры, называемые списками доступа (ассеѕѕ 1150)2, явля- 


1 О фильтрации трафика коммутаторами локальных сетей см. главу 11. 


2 Напомним, что термин «список доступа» употребляется и при описании механизмов контроля до- 
ступа в ОС, но в ином смысле. 
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ются очень распространенным средством ограничения пользовательского трафика в [Р- 
маршрутизаторах. Существует два типа списков доступа С1$со: 


О стандартный список доступа (З{апдаг4), позволяющий задавать условия фильтрации, 
учитывающие только ІР-адрес источника; 


О расширенный список доступа (Ежеп4е4), позволяющий использовать в условиях 
фильтрации ІР-адреса источника и приемника, порты ТСР и ОРрР источника и при- 
емника, а также типы сообщений некоторых других протоколов, например ІСМР. 


Как стандартный, так и расширенный список доступа может состоять из нескольких ус- 
ловий, каждое из которых записывается в виде отдельной строки. Условия применяются 
к пакету в том порядке, в котором они перечисляются в списке доступа до первого совпа- 
дения (оставшиеся условия не проверяются). 


Стандартный список доступа имеет следующий формат: 


ассеѕ5-115ї номер списка доступа { епу | регтії } {адрес источника [ метасимволы_ 
источника ] |апу } 


Служебные слова стандартного списка доступа: 

О ассеѕ5-1151 — служебное слово, с которого начинается каждая запись; 
О аепу — запрет прохождения пакета, если условие выполняется; 

Ш регтії — разрешение прохождения пакета, если условие выполняется; 


О апу — служебное слово, которое говорит о том, что условие должно быть применено 
к любому значению адреса источника. 


Числовые параметры стандартного списка доступа: 


О номер списка доступа — всем условиям одного и того же списка доступа присваивается 
один и тот же номер из диапазона 1-99; 


О адрес источника — ІР-адрес источника; 


О метасимволы источника используются аналогично маске, которая накладывается на 
поля [Р-адреса источника поступившего пакета и сравнивается с параметром адрес ис- 
точника. 


Пример стандартного списка доступа: 


ассеѕ5-1151 1 депу 192.78.46.0 0.0.0.255 


Здесь: 
О 1 — номер списка доступа; 


О аепу — пакет, который удовлетворяет условию данного списка доступа, должен быть 
отброшен; 


О 192.78.46.0 — адрес источника; 
О 0.0.0.255 — метасимволы источника. 


Этот фильтр запрещает передачу пакетов, у которых в старших трех байтах адреса источ- 
ника имеется значение 192.78.46.0. 


Список доступа может включать более одного условия. В этом случае он состоит из не- 
скольких строк с ключевым словом ассеѕѕ-11 с одним и тем же номером. Так, если мы 
хотим разрешить прохождение через маршрутизатор пакетов хоста 192.78.46.12, запрещая 
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передачу пакетов, отправляемых любым другим хостом подсети 192.78.46.0/24, то список 
доступа будет выглядеть следующим образом: 


ассе$$-11$% 1 регтії 192.78.46.12 0.0.0.0 
ассеѕ5-1151 1 епу 192.78.46.0 0.0.0.255 


Расширенный список доступа имеет следующий формат: 


ассе$$-11$4 номер списка доступа { епу | регтії } ключевое слово протокола 
{адрес источника метасимволы источника [ операция порт источника) | апу } 
{ адрес приемника метасимволы приемника [ операция порт приемника ] | апу } 


Параметры: 
О номер списка доступа — номер списка доступа из диапазона 100—199; 
Ц ключевое слово протокола — ір, «ср, чар или істр; 


Ч операция: ед, 1+, вї (позволяет задать порт, диапазон портов ОЮР/ТСР или тип пакета 
СМР). 


Расширенный список дает возможность фильтровать пакеты определенных приложений 
на основе известных портов ТСР/ОРР их серверной части. Рассмотрим несколько при- 
меров. Пример 1: 


ассеѕ5-115ї 105 регтії Їїср апу По$+* 210.135.17.101 ед 21 


Эта запись разрешает прием запросов от любого хоста, направленных ЕТР-серверу (ТСР- 
порт 21) с адресом 210.135.17.101 (используется дополнительное служебное слово ћоѕї 
вместо маски 0.0.0.0). Пример 2: 


ассеѕ55-1151 101 епу ІСМР апу 192.78.46.0 0.0.0.255 ед 8 


Эта запись запрещает передачу эхо-запросов (ріпе-запросов) от любого хоста к хостам 
подсети 192.78.46.0/24. Пример 3: 


ассеѕ5-1151ї 105 регтії їср апу еа 80 апу рї 1023 е$фаб115Пеад 


Эта запись разрешает клиентам веб-службы (они всегда имеют порт ТСР > 1023) полу- 
чать ответы от любых веб-серверов (порт 80), с которыми у них уже установлено ТСР- 
соединение (служебное слово еѕъарб1іѕһеа оговаривает это, маршрутизатор проверяет 
данный факт по наличию признака АСК в пакете). 


Список доступа можно применять к любому интерфейсу маршрутизатора и в любом на- 
правлении: если список применяется с ключевым словом іп, то он действует на входящие 
в интерфейс пакеты. В этом случае говорят, что выполняется входная фильтрация (іпегеѕѕ 
Ё1сегіпе). Например, написанный нами список доступа 1 можно применить к некоторому 
интерфейсу для обработки входящего трафика, используя следующую команду: 


ассе$$-11$4 1 іп 


Если же применить список доступа с ключевым словом ои*, то он будет воздействовать 
на пакеты, исходящие из интерфейса, и в этом случае будет выполняться выходная филь- 
трация (ергеѕѕ Нцегпв). 


Для обеспечения подотчетности необходимо протоколирование событий, связанных 
с фильтрацией пакетов. Маршрутизаторы Сіѕсо могут помещать сообщения об обработ- 
ке пакетов, удовлетворяющих условию некоторой записи списка доступа, в системный 
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журнал маршрутизатора ѕуѕІор. По умолчанию такая опция для каждой записи списка 
доступа неактивна — это сделано для уменьшения нагрузки на маршрутизатор. Для акти- 
визации протоколирования необходимо добавить к записи ключевое слово 10е, например: 


ассеѕ5-1151 102 регтії ТСР апу 21 апу 1ор 


В заключение отметим, что приведенный здесь пример языка для списков доступа марш - 
рутизаторов С1$со является хотя и фирменной, но достаточно типичной реализацией, 
хорошо иллюстрирующей возможности применения маршрутизаторов как файерволов. 
Отсутствие фильтрации с запоминанием состояния связано со стремлением не создавать 
слишком большую нагрузку на маршрутизатор и «не отвлекать» его от основных обязан- 
ностей. Это ограничение является главным отличием маршрутизаторов от программных 
и программно-аппаратных файерволов. 


($) Фильтрация маршрутных объявлений 


Файерволы 


Функциональное назначение файервола 


Файервол (межсетевой экран, или брандмауэр) — это комплекс программно-аппаратных 
средств, осуществляющий информационную защиту одной части компьютерной сети от другой 
путем анализа и фильтрации проходящего между ними трафика. 


Файерволы осуществляют экранирование защищаемого объекта и формируют его внеш- 
нее представление. В сетевой среде файерволы часто являются первым и самым мощным 
рубежом обороны. 


ПРИМЕЧАНИЕ 


Исходным значением термина «файервол» (от англ. Яге\ма|) является элемент конструкции дома, 
а именно — стена, сделанная из огнеупорного материала и препятствующая распространению огня 
между частями дома (обычно принадлежащими разным собственникам). Термин «брандмауэр» (от 
нем. Бгап4тачцег) много лет назад пришел в русский язык из немецкого. Изначально он обозначал 
перегородку в поезде, отделяющую область топки паровоза от пассажирского отделения. Интересно, 
что немецкие специалисты в области безопасности для обозначения межсетевого экрана используют 
англоязычный термин Йге\ма|. В русском языке для термина «файервол» используются и другие 
транслитерации: файрволл, файрвол, фаервол. 


Файервол (рис. 28.1) защищает внутреннюю сеть (например, локальную сеть предприятия 
или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих 
из внешней сети (в общем случае — из Интернета). Файервол может также защищать одну 
внутреннюю сеть предприятия от другой, если в соответствии с принципом минимума 
полномочий пользователям этих сетей не требуется полный взаимный доступ к ресурсам 


друг друга. 
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Рис. 28.1. Файервол защищает внутреннюю сеть от угроз, исходящих из внешней сети 


Для эффективного выполнения файерволом его главной функции — анализа и фильтрации 
трафика — необходимо, чтобы через него проходил весь трафик, которым обмениваются 
узлы защищаемой части сети с узлами Интернета. Если сеть связана с внешними сетями 
несколькими линиями связи, то каждая такая линия должна быть защищена файерволом. 


Основными функииями файервола являются: 
О фильтрация трафика в целях защиты внутренних ресурсов сети; 


О аудит — файервол должен фиксировать все события, связанные с обнаружением и бло- 
кировкой подозрительных пакетов. 


Наряду с этими двумя базовыми функциями на файервол могут быть возложены и другие 
вспомогательные функции защиты, в частности: 


О антивирусная защита; 
О шифрование трафика; 


Ц логическое посредничество между внутренними клиентами и внешними серверами 
(функция прокси-сервера); 


О трансляция сетевых адресов (МАТ); 


О фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена 
О№5 и ключевые слова; 


О предупреждение и обнаружение вторжений и сетевых атак; 
О функции УРМ. 
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Как можно заметить, большинство из перечисленных функций часто реализуются в виде 
отдельных продуктов или в составе систем защиты других типов. Так, функции пакетной 
фильтрации встроены практически во все маршрутизаторы; задача обнаружения вирусов 
решается множеством разнообразных программ; шифрование трафика — неотъемлемый 
элемент технологий защищенных каналов и т. д. и т. п. Прокси-серверы часто поставляются 
в виде приложений, более того, они сами иногда интегрируют в себе функции, свойствен- 
ные межсетевым экранам, такие, например, как фильтрация по содержимому (контенту) 
или трансляция сетевых адресов. 


Отсюда возникают сложности при определении понятия «файервол». Например, доволь- 
но распространено мнение, что файервол — это пограничное устройство, выполняющее 
фильтрацию пакетов (то есть маршрутизатор), а прокси-сервер — это совершенно отлич- 
ный от файервола инструмент защиты. Другие настаивают, что прокси-сервер является 
непременным и неотъемлемым атрибутом любого файервола, третьи — что файерволом 
может быть названо только такое программное (аппаратное) устройство, которое способно 
отслеживать состояние потока пакетов в рамках соединения. Мы же в этой книге будем 
придерживаться следующей точки зрения: 


Файервол — это программно-аппаратный комплекс, выполняющий разнообразные функции по 
защите внутренней сети, набор которых может меняться в зависимости от типа, модели и кон- 
кретной конфигурации файервола, при этом минимальный набор функций должен включать филь- 
трацию трафика для предотвращения сетевых атак и аудит событий, связанных с фильтрацией. 


Пример-аналогия 


Функционально сетевой экран можно сравнить с системой безопасности современного аэро- 
порта. Аналогии здесь достаточно очевидные (рис. 28.2) — самолет соответствует защищаемой 
внутренней сети, а внешняя сеть, из которой приходит потенциально опасный трафик, — 
внешнему миру, откуда прибывают будущие пассажиры самолета, готовящегося к полету, при 
этом не все они приезжают с чистыми и ясными намерениями. 


В потоке пассажиров, постоянно входящих в здание аэропорта, могут встречаться различные 
злоумышленники. Наиболее зловещие — террористы — пытаются пронести на борт взрыв- 
чатку (в сетевом мире — пакеты, несущие во внутреннюю сеть вирусы, способные «взорвать» 
серверы и компьютеры пользователей) или оружие для захвата самолета в воздухе (атака по 
захвату управления удаленным компьютером). Контрабандисты несут с собой незадеклариро- 
ванные ценности (запрещенный контент), а некоторые личности пытаются попасть в самолет 
по поддельным документам (несанкционированный доступ к внутренним ресурсам сети). 


Чтобы отфильтровать трафик пассажиров, система безопасности аэропорта пропускает всех 
пассажиров и их багаж через единственно возможный путь — зону контроля. Так же поступают 
при защите сети, направляя весь входящий трафик через файервол. В зоне контроля аэропорта 
применяются разнообразные средства проверки пассажиров и их багажа. Аутентификация 
происходит путем сличения паспортов с компьютерной базой данных, а лиц пассажиров — 
с фотографиями в паспортах. Сюда же можно отнести просвечивание сумок и чемоданов, про- 
ход пассажиров через металлодетекторы. Между злоумышленниками и службой безопасности 
постоянно происходит состязание в коварстве, с одной стороны, и находчивости — с другой. 
Например, использование террористами флаконов для маскировки жидких компонентов 
бомбы лишило пассажиров возможности брать с собой в салон шампуни и другие жидкости 
в больших объемах. 
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Рис. 28.2. Зона контроля аэропорта как аналогия файервола 
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Файерволы тоже пытаются использовать все возможные средства и методы для противосто- 
яния разнообразным угрозам. С помощью паролей и цифровых сертификатов они проверяют 
аутентичность внешних узлов, пытающихся установить соединения с внутренними; отсле- 
живают логику обмена пакетами для того, чтобы отразить атаки, основанные на искажении 
этой логики; «просвечивают» содержимое электронных писем и загружаемых документов, 
пытаясь блокировать запрещенный контент; сканируют загружаемые программы, проверяя 
их на наличие известных вирусов. Так же, как и в зоне контроля аэропорта, здесь постоянно 
идег соревнование между хакерами, все время изобретающими новые методы атак, и разра- 
ботчиками файерволов, старающихся эти атаки обнаружить и пресечь. 


Типы файерволов 


Файерволы можно классифицировать по самым разным критериям. Остановимся в этой 
связи на способе реализации, способе фильтрации и уровне модели ОЅІ. 


Способ реализации файервола так же многовариантен, как и его функциональность. В ка- 
честве аппаратной составляющей сетевого экрана может выступать маршрутизатор или 
комбинация маршрутизаторов, компьютер или комбинация компьютеров, комбинация 
маршрутизаторов и компьютеров, наконец, это может быть и какое-то специализированное 
устройство. Таким же разнообразием отличается и программная составляющая сетевого 
экрана, имеющая гибкую структуру и включающая в себя различные модули, функции 
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которых могут широко варьироваться. В самом общем виде по способу реализации раз- 
личают программный, аппаратный и программно-аппаратный файерволы: 


О программный файервол реализован как программная система, работающая под управ- 
лением универсальной ОС, такой как Мисгозой УЛпдо\$, пих или Мас ОЅ (возможно, 
имеющая версии для нескольких универсальных ОС); 


О аппаратный файервол реализован как набор дополнительных функций маршрутиза- 
тора, относящихся к фильтрации (реже — Еегпе-коммутатора); 


О программно-аппаратный файервол представляет собой программную систему, работа- 
ющую на базе специализированной платформы. Обычно в качестве такой специализи- 
рованной платформы выступает аппаратный сервер, сертифицированный для работы 
с программным обеспечением файервола, плюс установленная на нем универсальная 
ОС снабором специфических настроек, обеспечивающих максимальный уровень без- 
опасности. 


В зависимости от способа фильтрации различаются файерволы без запоминания состояния 
и файерволы с запоминанием состояния: 


О файерволы без запоминания состояния (5{а(е1ез$) выполняют фильтрацию на основе 
статических правил, при этом не отслеживаются состояния соединений (сеансов); 


О файерволы с запоминанием состояния (Ѕ(аѓеѓш) принимают решения динамически, 
с учетом текущего состояния сеанса и его предыстории. 


Файерволы с запоминанием состояния для каждого сеанса, который удовлетворяет некото- 
рым условиям, создают динамическую структуру данных в специальной таблице состояний 
файервола. После прихода очередного пакета контролируемого сеанса состояние сеанса 
корректируется и принимается решение о выполнении заданного действия с пакетом — 
пропускать или отбрасывать. Отслеживание для протоколов состояний сеансов требует 
больших объемов ресурсов, именно поэтому файерволы с запоминанием состояния созда- 
ются на программно-аппаратных платформах, имеющих большую оперативную память для 
хранения таблицы состояний сеансов и быстродействующие процессоры для обработки 
в реальном времени поступающих пакетов. Если же ресурсов такого файервола оказы- 
вается недостаточно, то вместо пользы он может принести вред — например, в ситуации, 
когда внутренние серверы оказываются недоступными не из-за атак на них, а из-за заторов 
трафика на интерфейсах файервола. 


Теперь, когда мы обсудили такую особенность файерволов, как способность работать 
в режимах с запоминанием и без запоминания состояния, можно сказать, что именно от- 
сутствие у маршрутизаторов режима фильтрации с запоминанием состояния является 
наиболее существенным их отличием от программных и программно-аппаратных файер- 
волов. Это ограничение связано со стремлением не создавать слишком большую нагрузку 
на маршрутизатор, чтобы «не отвлекать» его от выполнения основных обязанностей. В то 
же время существуют и исключения из этого правила, например, модели Јипірег 5КХ яв- 
ляются, с одной стороны, файерволами, поддерживающими фильтрацию с запоминанием 
состояния и работающими на всех уровнях, включая прикладной, а с другой — они под- 
держивают все функции «нормального» маршрутизатора, а не только их усеченный набор, 
как это часто происходит с программно-аппаратными файерволами. 


Одной из наиболее важных характеристик файервола является ировень протокола модели 
О.Т, на котором он работает. По этому признаку различают файерволы сетевого, сеансового 
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и прикладного уровней. Если же файервол анализирует и фильтрует трафик на нескольких 
уровнях, то его относят к самому высокому из всех этих уровней. 


Уровень протокола, на котором работает файервол, часто используют в качестве интеграль- 
ной характеристики, поскольку с ней коррелируют другие признаки файервола. Например, 
файерволы, работающие на сеансовом и прикладном уровнях, чаще относятся к разряду 
файерволов с запоминанием состояния, а более простые файерволы сетевого уровня — 
без запоминания. Далее мы приводим типичные сочетания характеристик файерволов, 
упорядоченные по уровням. 


Управляемые коммутаторы, обладающие расширенным набором функций, в том числе 
с возможностью фильтрации кадров канального уровня на основе задаваемых админи- 
стратором списков доступа, могут условно быть отнесены к файерволам канального 
уровня. 


Файерволы сетевого уровня, называемые также файерволами с фильтрацией пакетов 
(раскеє егіп бгема]), в полном соответствии со своим названием решают задачу филь- 
трации пакетов по [Р-адресам (как источника, так и приемника), а также по значению поля 
протокола верхнего уровня — в пакет сетевого уровня могут быть вложены сообщения 
протоколов ТСР, ОЮр, [СМР и др. Более того, несмотря на свое название, такие файер- 
волы работают и на более высоком, транспортном уровне, то есть на уровне портов ТСР 
и (ОР но только на основе статических правил, при которых не отслеживаются состояния 
соединений, то есть в режиме без запоминания состояния. Поэтому с помощью файервола 
сетевого уровня можно заблокировать доступ к определенному приложению, запретив про- 
хождение пакетов с определенными номерами портов ТСР или ОРЮР но нельзя защитить 
сеть от искаженного сеанса ТСР или НТТР, потому что это требует отслеживания после- 
довательности шагов в сеансе и, следовательно, запоминания состояния сеанса, а этого 
файерволы сетевого уровня делать не умеют. 


Этому типу файерволов соответствуют маршрутизаторы, поддерживающие пользова- 
тельские фильтры, а также программные персональные файерволы операционных систем. 
Опытный администратор может задать достаточно изощренные правила фильтрации, 
учитывающие многие требования, касающиеся защиты ресурсов внутренней сети. Тем не 
менее этот тип сетевых экранов уступает по степени защиты другим типам. Преимущества- 
ми файерволов сетевого уровня являются простота, невысокая стоимость и минимальное 
влияние на производительность сети (то есть их дополнительная работа по фильтрации 
трафика не замедляет маршрутизацию пакетов между двумя сетями). 


Файерволы сеансового уровня являются файерволами с запоминанием состояний со- 
единений на уровнях ниже прикладного. Файерволы сеансового уровня эффективно 
противодействуют тем видам атак на протокол ТСР, в которых нарушается трехшаговая 
процедура установления соединения. Мы подробно обсудим этот случай в следующей главе. 


Файерволы сеансового уровня используются для защиты и от других типов атак, в том 
числе таких, для распознавания которых требуется анализ не отдельных пакетов, а их по- 
следовательности. Например, атаку Ріпе Ноо4 можно распознать по слишком маленькому 
интервалу между эхо-запросами от одного и того же источника, для чего устанавливается 
предельно допустимый минимальный интервал между эхо-запросами, а затем фиксируется 
время прихода очередного запроса. Если оно оказывается меньше предельного, то пакет 
отбрасывается. Таким образом, запоминание состояния сеансов может обобщаться и на 
протоколы, работающие без установления соединения (1ІСМР, ЧШР, О№5), а это означает, 
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что, в отличие сетевых файерволов, файерволы сеансового типа способны защитить сеть 
от некоторых видов ЮоЅ-атак, даже если в этих атаках не используется протокол ТСР. 


Файерволы прикладного уровня способны интерпретировать, анализировать и контроли- 
ровать содержимое сообщений, которыми обмениваются приложения. Они также работают 
на основе фильтрации с запоминанием состояния, но анализируют состояния не только 
протоколов нижних уровней (вплоть до транспортного), но и прикладного уровня — таких, 
как протоколы $5Н, НТТР ЕТР, ОТ, 5МТР, РОРЗ, ІМАР ЕТР 55Н, 501и др. 


ПРИМЕЧАНИЕ 


Особым типом файерволов этого уровня является прокси-сервер, который перехватывает запросы 
клиентов к внешним серверам с тем, чтобы потом отправить их от своего имени. Этот тип сетевых 
экранов обеспечивает самый высокий уровень защиты, хотя и имеет свои недостатки, например, 
требует больших вычислительных затрат. Кроме того, прокси-сервер может скрывать адрес «дове- 
рившегося» ему клиента, что снижает эффективность других средств защиты. 


Следует отличать функции по блокировке приложений, реализуемые файерволами сете- 
вого уровня, от защиты приложений внутренней сети файерволами прикладного уровня. 
Файервол сетевого уровня понимает структуру заголовков пакетов ТСР и ОРЮР за счет 
чего может запретить или разрешить прохождение пакетов с определенным номером про- 
граммного порта ТСР или ОРЮР атак как этот номер присвоен серверной части некоторого 
приложения, то блокируется весь трафик извне к этому приложению. 


Файервол прикладного уровня действует более гибко. Он контролирует сеанс некоторого 
приложения, разрешая или запрещая определенные виды взаимодействия между внутрен- 
ней и внешней частями этого приложения в соответствии с заданными правилами. Так, 
при контроле веб-службы файервол может разрешить использование только определен- 
ных команд протокола НТТР, запретив остальные. В список запрещенных команд могут 
попасть опасные для веб-сервера команды РОТ и РЕГЕТЕ. Аналогично при контроле 
почтовой службы файервол прикладного уровня может не пропускать вовне письма, не 
подписанные цифровой подписью отправителя, если это предусмотрено политикой без- 
опасности предприятия. 


Файервол прикладного уровня, используемый в качестве корпоративного межсетевого 
экрана, чаще всего является интегрированным продуктом с модульной структурой, которая 
позволяет менять набор поддерживаемых функций фильтрации в зависимости от потреб- 
ностей конкретной сети. За счет дополнительных модулей файерволы прикладного уровня 
могут поддерживать самые разные функции защиты программного обеспечения, например: 


О трансляция внутренних [Р-адресов пользователей на основе стандарта МАТ 


О антивирусный контроль загружаемых пользователем файлов и получаемых писем «на 
лету»; 

0 контроль контента, заключающийся, например, в ограничении доступа пользователей 
к внешним веб-сайтам, страницы которых содержат заданные ключевые слова; такой 
же контроль может применяться к электронным письмам, отправляемым вовне; 


О транзитная аутентификация пользователей, обращающихся к некоторому приложе- 
нию на внутреннем сервере, — эта функция полезна для тех приложений, которые либо 
не выполняют аутентификацию пользователей совсем, либо делают это незащищенным 
способом, как, например, ЕТР-сервер, который принимает пароли пользователей в от- 
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крытом виде: файервол перехватывает обращение пользователя к ЕТР-серверу (коман- 
ду ОЅЕК) и организует сеанс логического входа пользователя, например, с сервером 
аутентификации КегБего$, если именно такой способ аутентификации применяется 
в корпоративной сети; 


О централизованное шифрование электронных писем пользователей, что избавляет поль- 
зователей от необходимости конфигурировать такую функцию на своих клиентских 
компьютерах (для этого файервол должен хранить цифровые сертификаты пользова- 
телей); 

О функции шлюза УРМ с удаленными подразделениями предприятия и удаленными 
пользователями. 


Программные файерволы хоста 


Программные файерволы хоста являются частью его программного обеспечения, реализуя 
наряду с файерволом сети двухступенчатый контроль трафика. Программный файервол работает 
в режиме ядра ОС, контролируя сетевые интерфейсы хоста и перехватывая пакеты до передачи 
их протоколам стека ТСРЛР. 


Программные файерволы хоста являются, как правило, файерволами сетевого уровня без 
запоминания состояния сеанса. Отслеживание состояния сеанса требует значительных 
вычислительных ресурсов компьютера, и поддержка файерволом хоста такой функции 
могла бы привести к существенному замедлению выполнения основных его функций. Как 
и файерволы сетевого уровня на основе маршрутизаторов, программные файерволы хоста 
позволяют применять правила, учитывающие номера портов ТСР/ОРР. Это означает, 
что пользователь хоста может разрешать или запрещать доступ по сети к определенным 
приложениям хоста, пользующимися закрепленными за ними портами. Посмотрим, как 
можно блокировать доступ по сети к приложениям с помощью программного файервола 
ірсађеѕ, имеющегося практически во всех версиях (Опіх Ліпих. Этот файервол запускается 
как Отих-демон и работает на основе правил, записанных в текстовом виде в файле /еїс/ 
ѕуѕсопід/ірќабіеѕ. Правила состоят из трех секций: 


Ч МРОТ — правила фильтрации входящего трафика; 
Ч очтРУТ — правила фильтрации исходящего трафика; 


Ц ҒОКМАВО — правила фильтрации транзитного трафика в том случае, когда хост работает 
как [Р-маршрутизатор, имея два сетевых интерфейса. 


На рис. 28.3 показан пример правил секции МРОТ. Как можно заметить, их синтаксис 
похож на синтаксис правил маршрутизаторов С15со (см. начало главы). 


Рассмотрим, например, такое правило: 


АССЕРТ їср - - апумһеге апумһеге $Фафе МЕМ %ср арт$ : упс-5егуег: 5903 


Оно говорит о том, что пакеты, удовлетворяющие условию правила, должны быть приняты 
(АССЕРТ). Этому правилу удовлетворяют пакеты протокола ТСР (ср) с любым адресом ис- 
точника (апумпеге) и любым адресом приемника (апумћеге), относящиеся к новому сеансу 
ТСР (ѕ+а+е МЕМ, то есть к пакетам с признаком ЗУМ) и имеющие в поле порта назначения 
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значения в диапазоне от 5900 (это стандартный порт сервиса упс-зегуег, поэтому порт задан 
с помощью своего имени) до 5903. 


[ гооїёдапутеде ѕуѕсоп?ід]# ірїађ\еѕ -1 
Сһајп ІМРОТ (ро\ісу АССЕРТ) 


їагдеї ргої орї ѕоигсе деѕїіпаїіоп 

АССЕРТ идр -- апумпеге апумпеге идр ар? : дотаіп 

АССЕРТ {ср -- апумпеге апуућеге ср рї: ботаіп 

АССЕРТ идр -- апумпеге апумпеге идр дрї:Ббооїрѕ 

АССЕРТ {ср -- апумһеге апуућеге їср рї: бооїрѕ 

АССЕРТ а\\ -- апумһеге апуућеге ѕТаїе КЕ АТЕО , ЕЗТАВЕТ$НЕО 

АССЕРТ істр -- апумпеге апуућеге 

АССЕРТ а\\ -- апумпеге апуућеге 

АССЕРТ {ср -- апумпеге апуућеге $фафе МЕМ {ср рї: 55һ 

АССЕРТ {ср -- апумеге апуућеге ѕїаїе МЕМ {ср 9ру$ : Упс -ѕегуег: 5903 
АССЕРТ иар -- апуҹћеге апуућеге ѕїаїе МЕМ оар рї5 : упс-зегуег: 5903 
АССЕРТ {ср -- апумпеге апуућеге ѕїаїе МЕМ їср дрї:оа-ѕуѕ?Тет 
АССЕРТ їср -- апумпеге апумћеге 5фафе МЕМ {ср рї :мебсасће 

АССЕРТ идр -- апумеге апумпеге $фафе МЕМ идр 9р*:мебсаспе 

АССЕРТ {ср -- апумеге апумћеге ѕ{аїе МЕМ їср рї: рсѕупс-ћїїрѕ 
АССЕРТ їср -- апумпеге апумпеге $фафе МЕМ {ср 9р*:т$9$гуг 

АССЕРТ їср -- апумпеге апумћеге ѕїаїе МЕМ їср арт: даі-їср-1 
КЕЈЕСТ а\\ -- апуммеге апумпеге гејесї-міїћ істр-һоѕї-ргоһірітеад 


Рис. 28.3. Правила секции ІМРОТ файервола ірїабіеѕ 


Список включает еще несколько аналогичных правил, а завершает его правило ВЕЗЕСТ а11 
апумпеге апумпеге, запрещающее все, что не разрешено явно. 


Влияние ОНСР на работу файервола 


Назначение ІР-адресов может происходить вручную в результате выполнения процедуры 
конфигурирования интерфейса либо автоматически с помощью протокола динамическо- 
го конфигурирования хостов ОНСР. Этот протокол работает в локальных сетях, так как 
основан на широковещательных запросах клиентов к ОНСР-серверам. 


В сети, где адреса назначаются динамически, нельзя быть уверенными в адресе, который 
в данный момент имеет тот или иной узел. Такое непостоянство [Р-адресов влечет за собой 
некоторые проблемы, прежде всего в работе О№$-серверов и файерволов. Как отмечено, 
фильтрация трафика во многих случаях происходит на основе ІР-адреса защищаемого 
хоста, а при использовании ОНСР этот адрес выдается хосту временно, например на сутки, 
после чего процедура назначения адреса повторяется, причем нет никакой гарантии, что 
адрес останется тем же. Поэтому в локальной сети, защищенной файерволом и использу- 
ющей протокол ОНСР, возможны два подхода: 


О Применение ОНСР только для конфигурирования клиентских компьютеров, для 
которых обычно не требуется отображение доменного имени в [Р-адрес, и конфигури- 
рование серверов с постоянными, статическими [Р-адресами. 


О Применение ОНСР и для клиентов, и для серверов, но настройка сервера ОНСР 
производится таким образом, чтобы он для серверов создавал статические записи 
ОНСР в которых МАС-адрес запроса связывается с ІР-адресом ответа сервера. При 
поступлении запроса с МАС-адресом, имеющимся в какой-либо статической записи 
сервера ОНСР, последний помещает в ответ ІР-адрес из этой статической записи, а не 
из динамического пула [Р-адресов. 
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Прокси-серверы 


Функции прокси-сервера 


Прокси-сервер (ргоху $егуег) — особый тип приложения, выполняющего функции посредника 
между клиентскими и серверными частями распределенных сетевых приложений, причем пред- 
полагается, что клиенты принадлежат внутренней (защищаемой) сети, а серверы — внешней 
(потенциально опасной) сети. Роль транзитного узла позволяет прокси-серверу логически 
разорвать прямое соединение между клиентом и сервером с целью контроля процесса обмена 
сообщениями между ними. 


Подобно файерволу, прокси-сервер может эффективно выполнять свои функции только 
при условии, что контролируемый им трафик не пойдет обходным путем. 


Прокси-сервер может быть установлен не только на платформе, где работают все осталь- 
ные модули файервола (рис. 28.4, а), но и на любом другом узле внутренней сети или сети 
демилитаризованной зоны (рис. 28.4, 6). В последнем случае программное обеспечение 
клиента должно быть сконфигурировано таким образом, чтобы у него не было возможности 
установить прямое соединение с ресурсным сервером, минуя прокси-сервер. 


Когда клиенту необходимо получить ресурс от какого-либо сервера (файл, веб-страницу, 
почтовое сообщение), он посылает свой запрос соответствующему прокси-серверу. По- 
следний анализирует этот запрос и на основании заданных ему администратором правил 
решает, каким образом он должен быть обработан: отброшен, передан без изменения ре- 
сурсному серверу, модифицирован тем или иным способом перед передачей, немедленно 
обработан силами самого прокси-сервера и др. 


В качестве правил, которыми руководствуется прокси-сервер, могут выступать условия па- 
кетной фильтрации. Правила могут быть достаточно сложными — например, в рабочие часы 
блокируется доступ к тем или иным узлам и/или приложениям, а доступ к другим узлам 
разрешается только определенным пользователям, причем для ЕТР-серверов пользователям 
разрешается делать лишь загрузку, тогда как выгрузка запрещается. Прокси-серверы могут 
также фильтровать почтовые сообщения по типу пересылаемого файла (например, запретить 
получение приложений формата МРЗ) и по их контенту. К разным пользователям могут при- 
меняться разные правила фильтрации, поэтому часто на прокси-серверы возлагается и задача 
аутентификации пользователей. Если после всесторонней оценки запроса от приложения 
прокси-сервер констатирует, что запрос удовлетворяет условиям прохождения дальше во 
внешнюю сеть, то он по поручению приложения-клиента, но от своего имени выполняет 
процедуру соединения с сервером, затребованным данным приложением. 


Помимо основных функций, многие прокси-серверы могут выполнять другие полезные 
операции, например, обнаруживать вирусы еще до того, как они попали во внутреннюю 
сеть, или собирать статистические данные о работе пользователей сети в Интернете. В не- 
которых случаях прокси-сервер может изменять запрос клиента. Например, если в него 
встроена функция трансляции сетевых адресов (см. далее раздел «Файерволы с функци- 
ей МАТ»), то он может в пакете запроса подменять [Р-адреса и/или номера портов ТСР 
и ПОР отправителя. Поэтому многие атаки, построенные на знании злоумышленником 
адресов узлов внутренней сети, становятся нереализуемыми. 
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Рис. 28.4. Варианты размещения прокси-сервера 


Прокси-сервер, выступая посредником между клиентом и сервером, взаимодействующими 
по определенному протоколу, не может не учитывать специфику этого протокола. Так, 
для каждого из протоколов НТТР, НТТР$, 5МТР/РОР ЕТР (епеѓ существует особый 
прокси-сервер, ориентированный на использование соответствующими приложениями: 
веб-браузером, программой электронной почты, ЕТР-клиентом, клиентом (е[пеѓ. Каждый 
из этих посредников принимает и обрабатывает пакеты только того типа приложений, 
для обслуживания которого он был создан. Обычно несколько разных прокси-серверов 
объединяют в один программный продукт. 


Посмотрим, как учитывает специфику протокола прокси-сервер, ориентированныи на 
веб-службу. Этот тип прокси-сервера может, например, выполнить собственными силами 
запрос веб-клиента, не отсылая его к соответствующему веб-серверу. Работая транзитным 
узлом при передаче сообщений между браузерами и веб-серверами Интернета, прокси- 
сервер не только передает клиентам запрашиваемые веб-страницы, но и сохраняет их 
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в своей кэш-памяти на диске. В соответствии с алгоритмом кэширования на диске прок- 
си-сервера оседают наиболее часто используемые веб-страницы. При получении запросов 
к веб-серверам прокси-сервер прежде всего проверяет, есть ли запрошенная страница 
в его кеше. Если есть, то она немедленно передается клиенту, а если нет, то прокси-сервер 
обычным образом делает запрос от имени своего доверителя. Прокси-сервер веб-службы 
может осуществлять административный контроль проходящего через него контента, 
в частности, ограничивать доступ клиента к сайтам, имеющим [Р-адреса или О№5-имена 
из «черных списков». Более того, он может фильтровать сообщения на основе ключевых 
слов. Различают прокси-серверы прикладного и сеансового уровней: 


Ц Прокси-сервер прикладного уровня, как это следует из его названия, умеет «вкли- 
ниваться» в процедуру взаимодействия клиента и сервера по одному из прикладных 
протоколов, например НТТР, НТТР$, $МТР/РОР, ЕТР или (еше. Чтобы выступать 
в роли посредника на прикладном уровне, прокси-сервер должен «понимать» смысл 
команд, «знать» форматы и последовательность сообщений, которыми обмениваются 
клиент и сервер соответствующей службы. Это позволяет прокси-серверу проводить 
анализ содержимого сообщений, делать заключения о подозрительном характере того 
или иного сеанса. 


О Прокси-сервер сеансового уровня выполняет свою посредническую миссию на транс- 
портном уровне, контролируя ТСР-соединение. Очевидно, что, работая на более низ- 
ком уровне, прокси-сервер обладает гораздо меньшим «интеллектом» и имеет меньше 
возможностей для выявления и предупреждения атак. Но он обладает и очень важным 
преимуществом перед прокси-сервером прикладного уровня — иниверсальностью, то 
есть он может быть использован любыми приложениями, работающими по протоко- 
лу ТСР (а в некоторых случаях и (ОР). 


«Проксификация» приложений 


Список приложений (точнее, их клиентских частей), которые должны передавать свои 
запросы во внешнюю сеть исключительно через прокси-сервер, определяется администра- 
тором. Чтобы эти приложения поддерживали такой режим выполнения, их программы 
должны быть соответствующим образом написаны. 


Приложения должны быть оснащены средствами, которые распознавали бы запросы к внешним 
серверам и перед отправкой преобразовывали эти запросы так, чтобы все они попадали на со- 
ответствующий прокси-сервер, а не передавались в соответствии со стандартным протоколом 
прямо на сервер-адресат. 


Эти средства должны также поддерживать протокол обмена сообщениями приложения-кли- 
ента с прокси-сервером. В последние годы в большинстве приложений, ориентированных 
на работу через Интернет, предусмотрена встроенная поддержка прокси-сервера. Такой 
поддержкой, например, оснащены все веб-браузеры и все клиенты электронной почты, 
которыми мы сейчас пользуемся. 


«Проксификация» приложения, изначально не рассчитанного на работу через прокси- 
сервер, требует изменения исходного кода с последующей перекомпиляцией — очевидно, 
что такая работа не представляет сложностей для разработчиков данного приложения, 
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но администратор сети не всегда может ее выполнить, например, из-за отсутствия ис- 
ходного кода или же необходимой квалификации программиста. Задача администратора 
заключается в приобретении готовых приложений, совместимых с используемым в сети 
прокси-сервером. Однако даже приобретение готового «проксифицированного» клиен- 
та не делает его готовым к работе — необходимо еще конфигурирование, в частности, 
нужно сообщить клиенту адрес узла сети, на котором установлен соответствующий 
прокси-сервер. 

Как можно было ожидать, процедура «проксификации» значительно упрощается для прок- 
си-сервера сеансового уровня. Для «проксификации» приложения в этом случае доста- 
точно внести простейшие исправления в исходный текст, которые сводятся к замене всех 
стандартных вызовов сетевых функций версиями этих функций из библиотеки процедур 
соответствующего прокси-сервера, а затем выполнить перекомпиляцию его программы. 


Еще один подход к «проксификации» — встраивание поддержки прокси-сервера в опе- 
рационную систему. В этом случае приложения могут оставаться в полном «неведении» 
о существовании в сети прокси-сервера — все необходимые действия за них выполнит ОС. 


Трансляция сетевых адресов 


Маршрутизация осуществляется на основе адресов назначения, которые помещены в за- 
головки пакетов и, как правило, остаются неизменными с момента их формирования от- 
правителем до момента поступления на узел получателя. Но из этого правила есть и исклю- 
чения. Например, в широко применяемой сегодня технологии трансляции сетевых адресов 
(Мегхогк АЧ4гез$ Тгапз|айоп, МАТ) предполагается продвижение пакета во внешней сети 
(в Интернете) на основании адресов, отличающихся от тех, которые используются для 
маршрутизации пакета во внутренней (корпоративной) сети. 


Одной из причин использования технологии МАТ является дефицит 1Ро4-адресов. Если 
по каким-либо причинам предприятию, у которого имеется потребность подключиться 
к Интернету, не удается получить у поставщика услуг необходимое количество глобальных 
[Ру4-адресов, то оно может прибегнуть к технологии МАТ. В этом случае для адресации 
внутренних узлов служат специально зарезервированные для этих целей частные адреса. 
Мы уже обсуждали их в главе 13. Чтобы узлы с частными адресами могли связываться 
через Интернет между собой или с узлами, имеющими глобальные адреса, необходимо 
использовать технологию МАТ. 


Технология МАТ также оказывается полезной, когда предприятие из соображений без- 
опасности желает скрыть адреса узлов своей сети, чтобы не дать возможности злоумыш- 
ленникам составить представление о структуре и масштабах корпоративной сети, а также 
о структуре и интенсивности исходящего и входящего трафиков. 


Именно технология МАТ стояла у истоков зарождения файерволов как отдельного класса про- 
дуктов. В начале 90-х годов, когда дефицит адресов ІРу4 еще мало ощущался, несколько специ- 
алистов основали компанию Мемогк Тгапѕіаїоп и разработали программный продукт РІХ, который 
позволял транслировать сетевые адреса. Позднее эту компанию приобрела компания Сіѕсо, 
а программный продукт стал знаменитым фаерйволом Сіѕсо РИХ Еігемаії, являющимся одним из 
флагманов средств защиты этого класса. 
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Традиционная технология МАТ 


Технология трансляции сетевых адресов имеет несколько разновидностей, наиболее по- 
пулярная из которых — традиционная технология трансляции сетевых адресов — по- 
зволяет узлам из частной сети прозрачным для пользователей образом получать доступ 
к узлам внешних сетей. Подчеркнем, что в данном варианте МАТ решается проблема орга- 
низации только тех сеансов связи, которые исходят из частной сети. Направление сеанса 
в данном случае определяется положением инициатора: если обмен данными инициируется 
приложением, работающем на узле внутренней сети, то сеанс называется исходящим (не- 
смотря на то что в его рамках в сеть могут поступать данные извне)!. 


Идея технологии МАТ — в следующем. Пусть сеть предприятия образует тупиковый домен, 
узлам которого присвоены частные адреса (рис. 28.5). На маршрутизаторе, связывающем 
сеть предприятия с внешней сетью, установлено программное обеспечение МАТ. МАТ- 
устройство динамически отображает набор частных адресов {1Р*} на набор глобальных 
адресов {ІР}, полученных предприятием от поставщика услуг и присвоенных внешнему 
интерфейсу маршрутизатора предприятия. 


Внутренняя сеть 


я МАТ-устройство 
| т Внешняя 
{{Р*}+- РО ать 


{11Р} — множество 
4 , глобальных адресов 
` {1Р*} — множество частных Г: внешнего интерфейса 
`. адресов узлов сети, которым у" корпоративной сети 
` разрешен выход во внешнюю сеть / 


------ 


Рис. 28.5. Схема действия традиционной технологии МАТ 


Важным для работы МАТ-устройства является правило распространения маршрутных 
объявлений через границы частных сетей. Объявления протоколов маршрутизации 
о внешних сетях «пропускаются» пограничными маршрутизаторами во внутренние сети 
и обрабатываются внутренними маршрутизаторами. Обратное утверждение неверно — 
маршрутизаторы внешних сетей не получают объявлений о внутренних сетях, объявления 


і Традиционная технология МАТ в виде исключения допускает сеансы обратного направления, за- 
ранее выполняя статическое взаимно однозначное отображение внутренних и внешних адресов для 
некоторого ограниченного набора узлов. 
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о них отфильтровываются при передаче на внешние интерфейсы. Поэтому внутренние 
маршрутизаторы «знают» маршруты ко всем внешним сетям, а внешним маршрутизаторам 
ничего не известно о существовании частных сетей. Традиционная технология МАТ под- 
разделяется на технологии базовой трансляции сетевых адресов (Ваѕіс Месуогк Аййгеѕѕ 
Тгапѕјайоп, Ваѕіс МАТ) и трансляции сетевых адресов и портов (Мебмогк Аайгеѕѕ Рог 
Тгапз[аиоп, МАРТ). В технологии Ваѕіс МАТ для отображения используются только ІР- 
адреса, а в технологии МАРТ — еще и так называемые транспортные идентификаторы, 
в качестве которых чаще всего выступают порты ТСР и ОРР. 


Базовая трансляция сетевых адресов 


Если количество локальных узлов, которым необходимо обеспечить выход во внешнюю 
сеть, меньше или равно имеющемуся количеству глобальных адресов, то для каждого 
частного адреса гарантировано однозначное отображение на глобальный адрес. В каждый 
момент времени количество внутренних узлов, которые получают возможность взаимо- 
действовать с внешней сетью, ограничивается количеством адресов в глобальном наборе. 
В этой ситуации целью трансляции является не столько решение проблемы дефицита 
адресов, сколько обеспечение безопасности. 


Частные адреса некоторых узлов могут отображаться на глобальные адреса статически. 
К таким узлам можно обращаться извне, используя закрепленные за ними глобальные 
адреса. Соответствие внутренних адресов внешним задается таблицей, поддерживаемой 
маршрутизатором или другим устройством (например, файерволом), на котором установ- 
лено программное обеспечение МАТ. 


В нескольких тупиковых доменах могут быть совпадающие частные адреса. Например, 
в сетях Аи В нарис. 28.6 для внутренней адресации применяется один и тот же блок адре- 
сов 10.0.1.0/24. В то же время адреса внешних интерфейсов обеих сетей (181.230.25.1/24, 
181.230.25.2/24 и 181.230.25.3/24 в сети А и 185.127.125.2/24 185.127.125.3/24 
185.127.125.4/24 в сети В) уникальны глобально, то есть никакие другие узлы в составной 
сети их не используют. В данном примере в каждой из сетей только три узла имеют возмож- 
ность «выхода» за пределы сети своего предприятия. Статическое соответствие частных 
адресов этих узлов глобальным адресам задано в таблицах пограничных устройств обеих 
сетей. 


Когда узел 10.0.1.4 сети А посылает пакет хосту 10.0.1.2 сети В, он помещает в заголовок 
пакета в качестве адреса назначения глобальный адрес 185.127.125.3/24. Узел-источник 
по умолчанию направляет пакет своему маршрутизатору КЇ, которому известен маршрут 
к сети 185.127.125.0/24. Маршрутизатор передает пакет на пограничный маршрутизатор 
К2, которому также известен маршрут к сети 185.127.125.0/24. Перед отправкой пакета 
модуль МАТ, работающий на данном пограничном маршрутизаторе, используя таблицу 
отображения, заменяет в поле адреса источника частный адрес 10.0.1.4 соответствующим 
ему глобальным адресом 181.230.25.1/24. Когда пакет после путешествия по внешней сети 
поступает на внешний интерфейс МАТ-устройства сети В, глобальный адрес назначения 
185.127.125.3/24 преобразуется в частный адрес 10.0.1.2. Пакеты, передаваемые в обратном 
направлении, проходят аналогичную процедуру трансляции адресов. 


Заметим, что в описанной операции не требуется участия узлов отправителя и получателя, 
то есть она прозрачна для пользователей. 
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Внутренняя сеть А 
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Таблица МАТ-отображения 


МА деды трт Глобальные 
адреса адреса 
185.127.125.2 


Рис. 28.6. Базовая трансляция сетевых адресов для исходящих сеансов 


Трансляция сетевых адресов и портов 


Пусть некоторая организация имеет частную ІР-сеть и глобальную связь с поставщиком 
услуг Интернета. Внешнему интерфейсу пограничного маршрутизатора К2 назначен 
глобальный адрес, остальным узлам сети организации — частные адреса. МАРТ по- 
зволяет всем узлам внутренней сети одновременно взаимодействоваль с внешними 
сетями, используя единственный зарегистрированный [Р-адрес. Возникает законный 
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вопрос: как внешние пакеты, поступающие в ответ на запросы из частной сети, находят 
узел-отправитель, если в поле адреса источника всех пакетов, отправляемых во внеш- 
нюю сеть, помещается один и тот же адрес — адрес внешнего интерфейса пограничного 
маршрутизатора? 

Для однозначной идентификации узла-отправителя привлекается дополнительная ин- 
формация. Если в ІР-пакете находятся данные протокола ОРЮР или ТСР, то в качестве 
такой информации выступает номер порта ОРЮР или ТСР соответственно. Но и это не 
вносит полной ясности, поскольку из внутренней сети может исходить несколько запро- 
сов с совпадающими номерами портов отправителя, а значит, опять возникает вопрос 
об однозначности отображения единственного глобального адреса на набор внутренних 
адресов. Решение состоит в том, что при прохождении пакета из внутренней во внешнюю 
сеть каждой паре {внутренний частный адрес; номер порта ТСР или ОРЮР отправителя} 
ставится в соответствие пара {глобальный ІР-адрес внешнего интерфейса; назначенный 
номер порта ТСР или ООР}. Назначенный номер порта выбирается произвольно, однако 
должно быть выполнено условие его уникальности в пределах всех узлов, получающих 
выход во внешнюю сеть. Соответствие фиксируется в таблице. Эта модель при наличии 
единственного зарегистрированного ІР-адреса, полученного от поставщика услуг, удовлет- 
воряет требованиям по доступу к внешним сетям для большинства сетей средних размеров. 
На рис. 28.7 приведен пример, когда в тупиковой сети А используются внутренние адреса 


из блока 10.0.0.0. Внешнему интерфейсу маршрутизатора этой сети поставщиком услуг 
назначен адрес 181.230.25.1. 
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| Сеть 10.0.1.0 
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Таблица МАТ-отображения 


Частный Порт Глобальный | Назначенный 
адрес р адрес порт 
10.0.1.4 1245 | 181.230.25.1 3451 


10.0.2.15 1245 | 181.230.25.1 3452 
10.0.2.3 1045 | 181.230.25.1 3455 


Рис. 28.7. Трансляция сетевых адресов и портов для исходящих сеансов ТСР и ООР 
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Когда хост 10.0.1.4 внутренней сети посылает во внешнюю сеть пакет серверу ќ(епеї, то он 
в качестве адреса назначения использует его глобальный адрес 136.56.28.8. Пакет поступает 
маршрутизатору К1, который знает, что путь к сети 136.56.0.0/16 идет через пограничный 
маршрутизатор К2. Модуль МАРТ маршрутизатора К2 транслирует адрес 10.0.1.4 и порт 
ТСР 1245 источника в глобально-уникальный адрес 181.230.25.1 и уникально назначенный 
ТСР-порт, в приведенном примере — 3451. В таком виде пакет отправляется во внешнюю 
сеть и достигает сервера {епе{. Когда получатель генерирует ответное сообщение, то он 
в качестве адреса назначения указывает единственный зарегистрированный глобальный 
адрес внутренней сети, являющийся адресом внешнего интерфейса МАРТ-устройства. 
В поле номера порта получателя сервер помещает назначенный номер ТСР-порта, взятый 
из поля порта отправителя пришедшего пакета. При поступлении ответного пакета на 
МАРТ-устройство внутренней сети именно по номеру порта в таблице трансляции вы- 
бирается нужная строка. По ней определяется внутренний ІР-адрес соответствующего 
узла и действительный номер порта. Эта процедура трансляции полностью прозрачна для 
конечных узлов. 


ПРИМЕЧАНИЕ 


Заметьте, что в таблице имеется еще одна запись с номером порта 1245, причем такая ситуация вполне 
возможна: операционные системы на разных компьютерах независимо присваивают номера портов 
клиентским программам. Именно для разрешения такой неоднозначности и привлекаются уникально 
назначенные номера портов. 


В технологии МАРТ разрешаются только исходящие из частной сети сеансы ТСР и ПОР. 
Но бывают ситуации, когда нужно обеспечить доступ к некоторому узлу внутренней сети 
извне. В простейшем случае, когда служба зарегистрирована, то есть ей присвоен хорошо 
известный номер порта (например, \/\/У или О№5), и, кроме того, эта служба представ- 
лена во внутренней сети в единственном экземпляре, задача решается просто — служба 
и узел, на котором она работает, однозначно определяются хорошо известным зарегистри- 
рованным номером порта службы. 


Завершая рассмотрение технологии МАТ, заметим, что помимо традиционной технологии 
МАТ существуют и другие ее варианты, например технология двойной трансляции сете- 
вых адресов, когда модифицируются оба адреса — и источника, и приемника (в отличие 
от традиционной технологии МАТ, когда модифицируется только один адрес). Двойная 
трансляция сетевых адресов необходима, когда частные и внешние адресные пространства 
имеют коллизии. Наиболее часто это происходит, когда внутренний домен имеет некоррек- 
тно назначенные публичные адреса, которые принадлежат другой организации. Подобная 
ситуация может возникнуть, если сеть организации была изначально изолированной 
и адреса назначались произвольно, причем из глобального пространства. Или же такая 
коллизия может быть следствием смены поставщика услуг, причем организация хотела 
бы сохранить старые адреса для узлов внутренней сети. 


Системы мониторинга трафика 


Файервол может успешно защитить внутреннюю сеть от разнообразных атак при условии, 
что его фильтры правильно сконфигурированы. Однако даже правильные фильтры кон- 
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фигурируются статически, так что для подлинно эффективной защиты ‘требуется заранее 
предвидеть все возможные атаки, что в принципе невозможно. Любой новый тип атаки 
имеет все шансы «просочиться» через файервол и достичь внутренних серверов защища- 
емой сети. Обнаружить следы атак, которые смогли преодолеть барьер файервола, можно 
путем мониторинга сетевого трафика. 


Мониторинг сетевого трафика — непрерывный процесс инструментального автоматизиро- 
ванного наблюдения за отдельными параметрами трафика с целью проверки соблюдения $(А, 
планирования сети, а также предотвращения негативных событий — таких, как технические 
аварии, угрозы и атаки злоумышленников. 


Здесь мы рассмотрим следующие средства мониторинга сетевого трафика: 


О анализаторы протоколов, или сетевые сниферы, позволяют захватывать трафик локаль- 
ных сетей, представлять его в удобном для анализа видс, но собственно анализ данных 
оставляют администратору; 


О маршрутизаторы, поддерживающие протокол №еіЕоо, собирают обобщенные дан- 
ные о трафике глобальных сетей, передавая его для анализа программным системам 
МеЕю\, которые автоматизируют поиск атак и угроз; 


О системы обнаружения вторжений (Пигизюоп Оеесйоп Зу${етз, 105) специализируют- 
ся на автоматическом распознавании вторжений и угроз в прослушиваемом трафике 
локальных сетей. 


Анализаторы протоколов 


Анализаторы протоколов способны на основе некоторых заданных оператором логических 
условий захватывать отдельные пакеты и декодировать их, то есть показывать в удобной 
для специалиста форме вложенность пакетов протоколов разных уровней друг в друга 
с расшифровкой содержания полей каждого пакета. Дружественный интерфейс, обычно 
присущий этому классу устройств, позволяет пользователю выводить результаты анализа 
интенсивности трафика; получать мгновенную и усредненную статистическую оценку 
производительности сети; задавать определенные события и критические ситуации для 
отслеживания их возникновения. 


Зеркализация портов и неразборчивый режим 


Анализатор протоколов представляет собой либо самостоятельное специализированное 
устройство, либо персональный компьютер, обычно переносной класса Мо{еБоок, осна- 
щенный специальной сетевой картой и соответствующим программным обеспечением. 
Программное обеспечение анализатора протоколов состоит из ядра, поддерживающего 
работу сетевого адаптера и декодирующего получаемые данные, и дополнительного 
программного кода, зависящего от типа исследуемой сети. В состав некоторых анали- 
заторов может входить также экспертная система, способная выдавать пользователю 
рекомендации о том, какие эксперименты следует проводить в данной ситуации, что 
могут означать те или иные результаты измерений, как устранить некоторые виды не- 
исправностей в сети и пр. 
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Анализатор протоколов подключается к сети точно так же, как обычный узел. В примере 
на рис. 28.8 анализатор подключен к порту Р4 коммутатора. Предположим, предстоит 
анализировать трафик клиентов сети, проходящий через порт коммутатора Р2. Так как 
сеть сегментирована, трафик порта Р2 не появляется на порту Р4 и анализатор остается 
без работы, поскольку нужного трафика на его порту просто нет. 


ААА МАЛУУ УУУУ УМА ЧУ ЧАА УЛУМА КУРУУЧУ УУ ЗАМА АЛААМАТ 


н 
| Коммутатор | 
| | 
| | 


Анализатор 
трафика 


Рис. 28.8. Зеркализация трафика 


Для того чтобы анализатор мог работать по назначению, нужно каким-то образом обеспе- 
чить прохождение трафика порта Р2 через порт Р4, например, посредством специальной 
дополнительной функции, которую поддерживают современные коммутаторы и маршру- 
тизаторы, — функции зеркализации портов. Она состоит в том, что трафик какого-либо 
порта копируется в буфер другого порта. В нашем примере как входной, так и выходной 
трафик порта Р2 копируется в порт Р4 — в таком случае говорят, что порт Р2 зеркализи- 
рован в порт Р4. 


Однако мы все еще не достигли поставленной цели. Несмотря на наличие необходимого 
трафика на порту Р4, сетевой адаптер анализатора не принимает появляющиеся на нем 
кадры, так как они адресованы не ему (у кадров другие МАС-адреса назначения). Для 
преодоления этого препятствия сетевой адаптер анализатора протоколов должен быть 
переведен в режим неразборчивого захвата пакетов (рготіѕсиоцѕ то4е). В неразборчивом 
режиме адаптер захватывает все пакеты, биты которых появляются на его входе. 


Анализатор протоколов Мігеѕһагк 


В качестве примера рассмотрим популярный, свободно распространяемый программный 
анализатор протоколов \У/гезвагК, позволяющий анализировать захваченный трафик, 
используя иерархическое представление полей пакетов (рис. 28.9). 


Верхняя панель окна результатов Мігеѕћагк показывает основные параметры каждого 
захваченного пакета: порядковый номер, время, адреса источника и отправителя и др. 
Расположенная ниже панель позволяет рассмотреть один из пакетов (в данном случае 
с номером 581) более детально, при этом поля, состоящие из нескольких подполей, можно 
раскрывать рекурсивно, добираясь до самого дна иерархии признаков пакета, например до 
признаков заголовка ІР или ТСР. Мігеѕћагк поддерживает весьма длинный список про- 
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ТОКОЛОВ от канального до прикладного уровня — на практике это означает возможность 
раскрытия заголовков протоколов с пояснениями назначения каждого поля. 
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Рис. 28.9. Анализ трафика с помощью программы М/ігеѕћагк 


УМтезВагК дает возможность гибко задавать фильтры двух типов: фильтр захвата пакетов 
и фильтр отображения пакетов; практически любое поле любого протокола может быть 
использовано в условиях этих фильтров. Захваченные кадры помещаются в файл с расши- 
рением .рсар (раскег сарќиге), стандартизованный формат которого сегодня поддерживают 
практически все программные и программно-аппаратные средства мониторинга трафика. 


Применение анализаторов протоколов для обнаружения атак требует значительного 
опыта, так как за десятками сеансов различных протоколов, часто несущих избыточную 
информацию, не так-то просто увидеть подозрительную активность. Поэтому часто анализ 
данных, собранных в файле формата РСАР автоматизируют с помощью какой-нибудь из 
доступных программ анализа трафика'. В то же время предоставляемая анализаторами 
протоколов принципиальная возможность получить полную картину проходящего через 
сеть трафика дает шанс специалисту по безопасности разобраться с ситуацией «вручную» 
и обнаружить атаку даже в том случае, когда атака является совершенно новой, не извест- 
ной автоматическим средствам анализа трафика. 


($) Анализатор протоколов Тсраитр 


1! Не путать с анализатором протоколов. 
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Система мониторинга Ме{Е| ом 


Система мониторинга Ме Е оу является сегодня основным средством учета и анализа 
трафика, проходящего через маршрутизаторы и коммутаторы сети. Поддерживающие 
протокол №еЕ]о\и сетевые узлы не только выполняют свою основную работу (передачу 
пакетов в соответствии с адресом назначения), но и собирают статистику о проходящих 
через них потоках данных, периодически отправляя собранную информацию в коллекторы 
для хранения и обработки. Практически все ведущие производители сетевого оборудова- 
ния поддерживают протокол Ме Е]о\,, так что для превращения вашего маршрутизатора 
в источник информации о проходящем трафике достаточно активизировать на нем систему 
№ Е]о\.. Собранную статистику можно использовать в том числе и для распознавания 
сетевых атак. Ме Е|о\ собирает статистику не об отдельных пакетах, а о потоках пакетов, 
определяя поток как последовательность пакетов, объединенных набором общих призна- 
ков, в число которых чаще всего входят:! 


Ц ТР-адрес источника; 
[Р-адрес назначения; 

порт ТСР/ОБР источника; 
порт ТСР/ОРР приемника; 


осоооео 


тип протокола, переносимого ІР-пакетом (полезно в тех случаях, когда это не ТСР или 
ОРР; например, это может быть [СМР или ОЗРЕ); 


О индекс интерфейса, на который получен пакет; 
О качество обслуживания — значения байта То /О1ЌЅегу. 


Мес Е]о\ собирает разнообразную статистику о потоке: время начала и окончания потока, 
объем данных, переданных с момента начала потока, средняя скорость передачи данных, ну 
и, естественно, все параметры, определяющие поток, то есть адреса, порты и т. д. Собранная 
статистика передается в коллекторы (на один или несколько серверов) по окончании по- 
тока или же по истечении определенного периода времени. 


Маршрутизатор может собирать данные Ме ]о\ в двух режимах: непрерывном, когда 
обрабатывается каждый пакет, поступающий в маршрутизатор, и выборочный, когда об- 
рабатывается только каждый 7-й пакет. Выборочный режим менее надежен для распозна- 
вания атак, зато он создает гораздо меньше дополнительной нагрузки на маршрутизатор, 
а для магистрального маршрутизатора, через который проходят десятки, а иногда и сотни 
тысяч потоков, это существенно. 


Типичная система мониторинга на базе Ме Е]ю\ включает следующие функциональные 
компоненты (рис. 28.10): 


Ы Экспортер потока, называемый также сенсором, агрегирует пакеты в потоки и передает 
статистические данные об этих потоках в один или несколько коллекторов. Экспорте- 
ром чаще всего является маршрутизатор или коммутатор, хотя могут быть ислользова- 
ны и отдельно стоящие устройства, получающие данные путем зеркалирования порта 
коммутатора. 


1 Такой набор параметров потока определен в Ме ю\ версии 5, являющейся на момент написания 
книги наиболее распространенной. В последующих версиях, например в версии 9, определено более 
50 параметров потока, имеется возможность собирать статистику о протоколах МРІ.5, ВСР, ГРуб. 
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Ч Коллектор отвечает за прием, хранение и предварительную обработку данных о пото- 
ках, полученных от экспортера потока. Реализуется одним или несколькими серверами. 


ОЈ Программа-анализатор анализирует полученные данные о потоках с целью распоз- 
навания возможных атак или возникновения перегрузок сети, установления состава 
и тенденций изменения трафика в сети. 


а и | К Е Хранилище «-—) 1 ЗР я — 


| ЗЕ ВИД 
І ас - Я ъ 
Программа- ГК «а 
Вналидатор а р ааай Є а 
Экспортер вл 9 


ши — протокольный модуль Ме ом/ 


Рис. 28.10. Типичная система мониторинга на базе Ме ом 


Важно подчеркнуть, что, в отличие от анализаторов трафика и систем обнаружения атак, 
МеЕ|о\у собпрает так называемые метаданные о трафике, не заглядывая в поля данных 
пакетов. Часто статистику Ме Е]о\ сравнивают с телефонным счетом, показывающим, 
с кем и сколько разговаривал данный абонент, но не раскрывающим, о чем он говорил. 
Однако знания метаданных часто бывает достаточно для того, чтобы распознать атаку. Для 
этого применяется общий принцип мониторинга сети — сравнение ее текущего поведения 
с «нормальным», то ссть таким, которое устойчиво повторялось в прошлом, и при этом мы 
знаем, что атак в сети не наблюдалось. 


Устойчивые значения статистических характеристик «нормального» поведения сети и ее узлов, 
которые получены на основании мониторинга сети на довольно значительном периоде времени 
(недели, месяцы), называются базовым уровнем (баѕе!іпе) характеристик сети. 


Другими словами, данные Ме Е]о\у служат для поиска аномалий в характере метаданных. 
Этот же прием используют службы безопасности банков — если, допустим, вы обычно 
снимаете деньги в банкоматах Москвы, то снятие денег в Рейкьявике является для вас 
аномалией и ее нужно проверить: может быть, вы просто полетели посмотреть на гейзеры, 
а может быть, у вас украли данные вашей карточки. 


Атака обычно генерирует не совсем обычный трафик, поэтому существуют рекомендации 
для распознавания таких аномалий. Перечислим основные из них: 


О Выявление узлов с необычно большим числом запросов на установление соединений (Тор 
М Уеѕѕіопѕ). Если какой-либо узел вдруг вошел в число М узлов, наиболее активных 
в отношении установления сеансов, то это должно вызывать подозрения (значение № 
обычно выбирается не очень большим, к примеру 10). Такая активность характерна для 
Роз /0роѕ-атак, узлов, зараженных червями, атак сканирования портов и некоторых 
других видов злоумышленной деятельности. Так, спам-хост будет пытаться отослать 


Глава 28. Технологии безопасности на основе анализа трафика 891 


как можно больше писем и поэтому устанавливать большое количество соединений 
в единицу времени с портом 25 (5МТР-порт, на который отправляется почта). 


О Выявление узлов с необычно интенсивным трафиком (Тор М Юаќа). В этом случае хост, 
который обычно не входил в число № самых активных, начинает посылать или получать 
необычно большое количество данных в единицу времени. Это может быть Юоѕ-атака 
или же активность червя, пытающегося заразить другие хосты. 


Ч Анализ 5УМ и других флагов заголовка ТСР. Наличие необычно большого числа пакетов 
с установленным флагом ЗУМ или другими флагами заголовка ТСР может свидетель- 
ствовать о Ооз-атаке. 


Ч Анализ ІСМР-сообщений. Большое количество ІСМР-сообщений «Порт/хост/сеть не- 
доступен» может свидетельствовать о сканировании злоумышленником или вирусом 
хостов и портов. 


Другим эффективным методом анализа трафика является проверка значений некоторых 
полей пакетов на предмет совпадения со значениями, используемыми в известных типах 
атак (сравнение с образцами). Чаще всего образцами атаки являются значения портов ТСР/ 
СОР и ІР-адресов. Например, червь $501. ЗЛатшег чаще всего использует ТСР-порт 1434, 
а червь \/32 /Мет5Ку.с всегда использует О№5$-сервер с адресом из списка конкретных ІР- 
адресов. Подчеркнем, подход к анализу данных Ме Е]о\у должен быть адаптивным, осно- 
ванным на постоянном обновлении и пополнении базы признаков атак, то есть аналитик 
должен стараться «идти в ногу» с разработчиками вирусов, ботов и другого вредоносного 
программного обеспечения. 


Системы обнаружения вторжений 


Система обнаружения вторжений (!пігиѕіоп ОщесНоп Зу$ет, 10$) — это программное или 
аппаратное средство, которое выполняет непрерывное наблюдение за сетевым трафиком и де- 
ятельностью субъектов системы с целью предупреждения, выявления и протоколирования атак. 
В отличие от файерволов, которые строят защиту сети исключительно на основе анализа сетевого 
трафика, системы обнаружения вторжений учитывают в своей работе различные подозрительные 
события, происходящие в системе. 


Существуют ситуации, когда сетевой экран оказывается проницаемым для злоумышленни- 
ка, например, когда атака идет через туннель УРМ из взломанной сети, когда инициатором 
атаки является пользователь внутренней сети и т. п. И дело здесь не в плохой конфигу- 
рации межсетевого экрана, а в самом принципе его работы. Несмотря на то что файервол 
обладает памятью и анализирует последовательность событий, он конфигурируется на 
блокирование трафика с заранее предсказуемыми признаками, например, по ІР-адресам 
или протоколам. Так что факт взлома внешней сети, с которой у него был установлен защи- 
щенный канал и которая прежде вела себя вполне корректно, в правилах экрана отразить 
нельзя. Точно так же, как и неожиданную попытку легального внутреннего пользователя 
скопировать файл с паролями или повысить уровень своих привилегий. Подобные подо- 
зрительные действия может обнаружить только система, оснащенная агентами, встроенны- 
ми во многие точки сети, причем она должна следить не только за трафиком, но и за всеми 
обращениями к критически важным ресурсам отдельных компьютеров, а также обладать 
информацией о перечне подозрительных действий (сигнатур атак) пользователей. Тако- 
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вой и является система обнаружения вторжений. Она не дублирует действия файервола, 
а дополняет их, производя, кроме того, автоматический анализ всех журналов событий, 
имеющихся у сетевых устройств и средств защиты, чтобы попытаться найти следы атаки, 
если ее не удалось зафиксировать в реальном времени. 

Другим важным отличием 105 от файерволов является то, что в обязанности 105 не вхо- 
дит блокировка подозрительного трафика. 105 только пытается выявить подозрительную 
активность и поднять тревогу — обычно путем предупреждения администратора сети 


электронным сообщением. Кроме поднятия тревоги 105 протоколирует подозрительные 
пакеты, помещая их в журнал. 


Типовая система 105 включает следующие функциональные элементы (рис. 28.11): 
источники данных; 

датчики; 

анализатор; 

администратор; 


оператор; 


оооооео 


менеджер. 
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Рис. 28.11. Элементы функциональной архитектуры 10$ 


Источниками данных для системы обнаружения вторжений являются маршрутизаторы, 


коммутаторы и хосты локальной сети, словом, все элементы сети, которые передают, ге- 
нерируют и принимают трафик. 


Датчик копирует пакеты, циркулирующие в сети, и передает их анализатору для выявле- 
ния подозрительной активности. Датчик может представлять собой отдельный компьютер, 
подключенный к зеркализованному порту коммутатора, или же это может быть программ- 
ный компонент маршрутизатора, который имеет доступ к пакетам, буферизуемым на его 
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интерфейсах. Датчик может осуществлять первичную фильтрацию пакетов, отбирая только 
те пакеты, которые удовлетворяют некоторым очевидным критериям, например пакеты, 
направленные к атакуемым наиболее часто публичным веб-серверам. 


Анализатор является «мозгом» 105 — он получает данные от датчиков и проверяет их на 
наличие угроз и подозрительной активности в сети. Анализатор работает на основе правил, 
составленных администратором системы безопасности предприятия в соответствии с по- 
литикой безопасности. При выполнении условия одного из правил анализатор вырабатыва- 
ет сообщение тревоги и передает его менеджеру системы 105 — программному компоненту, 
который хранит конфигурацию 105 и поддерживает удобный интерфейс с оператором 
108$. Менеджер 105 оповещает оператора 105 о тревоге в виде некоторого уведомления, 
привлекающего внимание, например в виде текстовой строки на экране с мерцающим 
символом, в виде звукового сигнала, продублированного электронным письмом, ит. п. 


Оператор системы 105 на основе данных уведомления принимает решение о реакции сети 
на подозрительную активность — это может быть отключение сетевого интерфейса, через 
который поступает подозрительный трафик, изменение правил файервола для блокировки 
определенных пакетов или же игнорирование уведомления, если оператор считает, что ве- 
роятность вторжения очень мала. В любом случае все данные о потенциальном вторжении 
протоколируются в журнале менеджера и могут быть использованы впоследствии для по- 
вторного анализа ситуации. Если же 105 выполняет также функции системы предупреж- 
дения вторжений, то менеджер может автоматически передать команды на маршрутизатор 
или файервол для блокировки подозрительного трафика. 


Описанная схема является функциональной, в реальной системе 105 эти функции не 
обязательно реализуются в отдельных блоках или модулях системы. В минимальном 
варианте все функции 105 могут быть сосредоточены в программном обеспечении един- 
ственного компьютера, сетевой адаптер которого исполняет роль датчика за счет того, что 
присоединен к зеркализованному порту коммутатора или маршрутизатора. Правда, в этом 
случае контролироваться будет только один сегмент корпоративной сети (или несколько 
сегментов, если на порт коммутатора, к которому подключен компьютер с 105, зеркали- 
зуется несколько рабочих портов коммутатора). 


Более масштабируемой является реализация 105 с несколькими датчиками, подключен- 
ными к различным сегментам сети и посылающими захваченный трафик центральному 
анализатору. В качестве таких датчиков может выступать дополнительное программное 
обеспечение маршрутизатора или коммутатора или же отдельные аппаратные устройства. 


Наряду с системами обнаружения вторжений существуют системы предупреждения втор- 
жений (Іпігиѕіоп Ргеуепиоп Ѕ5уѕѓетѕ, ІРЅ), которые выполняют автоматические действия 
по прекращению атаки в случае ее обнаружения. Часто такие системы перепоручают эту 
работу файерволу, передавая ему новое правило для блокировки подозрительного трафика. 


В 105 для обнаружения вторжений применяются нескольких типов правил: 


О Правила, основанные на сигнатуре (подписи) атаки (ѕівпабиге гиеѕ), используют харак- 
терную для той или иной атаки последовательность символов в данных пакета. Например, 
правило может диктовать поиск строки «изег гоої» в полях ЕТР-пакета — как известно, 
этот протокол передает пароли пользователей в открытом виде и применение его супер- 
пользователем гооѓ считается грубым нарушением политики безопасности предприятия, 
так что система 105 должна отслеживать такие случаи. Для эффективной работы систе- 
ма 105$ должна иметь обширную постоянно пополняемую базу сигнатур атак. 
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О Правила, основанные на анализе протоколов (ргобосо] гшеѕ), связаны с проверкой логики 
работы протокола и фиксацией отклонений от него. Так как каждый протокол обладает 
специфической логикой, 105 обычно имеет библиотеку программных модулей, каж- 
дый из которых может анализировать поведение определенного протокола. Правила 
анализа протоколов гораздо сложнее, чем анализа сигнатуры, они требуют высокого 
быстродействия 105, чтобы она могла работать в реальном времени. 


О Правила, основанные на статистических аномалиях трафика, аналогичны тем, которые 
были рассмотрены в описании технологии анализа данных №еЕ]о\.. 


Аудит событий безопасности 


Аудит (аи9 та) — это набор процедур учета и анализа всех событий, представляющих потен- 
циальную угрозу для безопасности системы. Аудит является одной из задач, решаемых в целях 
обеспечения важнейшего требования безопасности — подотчетности. 


В государственном стандарте подотчетность определяется как свойство безопасной систе- 
мы, обеспечивающее «однозначное прослеживание действий любого логического объекта». 
Возможность фиксировать деятельность объектов системы, а затем ассоциировать их 
с индивидуальными идентификаторами пользователей позволяет выявлять нарушения 
безопасности и определять ответственных за эти нарушения. 


Для обеспечения свойства подотчетности в компьютерных сетях используются различ- 
ные программно-аппаратные средства, в том числе файерволы, системы обнаружения 
и предотвращения вторжений, анализаторы протоколов, антивирусные системы, а также 
некоторые подсистемы ОС. 


Аудит позволяет «шпионить» за выбранными объектами и выдавать сообщения тревоги, 
когда, например, какой-либо рядовой пользователь пытается прочитать или модифициро- 
вать системный файл. Если кто-то пытается выполнить действия, отслеживаемые системой 
безопасности, то система аудита пишет сообщение в журнал регистрации, идентифицируя 
пользователя. 


Журнал регистрации — это совокупность хронологически упорядоченных записей о спе- 
циально отобранных событиях. Данные журнала регистрации должны быть надежно за- 
щищены от модификации и разрушения неавторизованными субъектами. Таким образом, 
аудит по своей природе является реактивным (а не проактивным) действием, то есть запи- 
си становятся достоянием специалиста по безопасности уже по прошествии некоторого 
времени после того, как события произошли. 


Поскольку никакая система безопасности не гарантирует стопроцентную защиту, именно систе- 
ма аудита оказывается последним рубежом в борьбе с нарушениями. 


Эту мысль лаконично отражает популярное изречение «Ргеуепќіоп 15 14еа|, Биг Ӣеѓесіоп 
1$ а ти5(!», которое говорит о том, что, бесспорно, предупреждение нарушений — это 
желательная, но, увы, часто недостижимая цель, в то время как обнаружение и фиксация 
нарушений — это то, что должно быть сделано обязательно. Действительно, после того как 


Глава 28. Технологии безопасности на основе анализа трафика 895 


злоумышленнику удалось провести успешную атаку, пострадавшей стороне не остается 
ничего другого, как обратиться к службе аудита. Если при настройке службы аудита были 
правильно заданы события, которые требуется отслеживать, то подробный анализ записей 
в журнале может дать много полезной информации, которая, возможно, позволит найти 
злоумышленника или, по крайней мере, предотвратить повторение подобных атак устра- 
нением уязвимых мест в системе защиты. Аудит действует и как угроза потенциальным 
нарушителям, предупреждая их о том, что в случае несанкционированных действий они 
легко могут быть выведены на чистую воду. 


Функциональный компонент аудита, обеспечивающий непрерывное наблюдение за пара- 
метрами системы, называется подсистемой мониторинга. Мы уже обсуждали мониторинг 
сетевого трафика. Кроме него объектами мониторинга могут выступать загрузка процессо- 
ра, статус сетевого интерфейса (активный или пассивный), включенное или выключенное 
устройство печати. 


Ведение журнала событий, особенно в режиме мониторинга, может потребовать слишком 
много ресурсов вычислительной системы (дискового пространства, вычислительной мощ- 
ности процессора), а также определенных затрат рабочего времени персонала. Поэтому 
важно соблюдать баланс между количеством различных видов событий, подлежащих 
регистрации, с одной стороны, и затрачиваемыми на их протоколирование ресурсами 
и возможностью их анализа — с другой. 


Задачу формирования правил отбора событий, подлежащих регистрации, выполняет 
администратор сети. В ОС, например, к числу таких событий относят попытки успешного 
и неуспешного логического входа в систему, запуска программ, доступа к защищаемым 
ресурсам, изменения атрибутов объектов и полномочий пользователей и др. Практически 
всегда фиксируются события, важные для ОС в целом: рестарт системы, очистка журнала 
регистрации событий, изменение системного времени и др. 


Даже самые простые журналы событий содержат такое огромное количество сведений, 
что их практически невозможно анализировать «вручную», без специальных средств. Для 
автоматизации обработки и анализа данных журнала регистрации могут быть использова- 
ны различные программные средства, в том числе средства предварительной обработки 
данных аудита, предназначенные для сжатия информации журнала регистрации за счет 
удаления из него малоинформативных записей, которые только создают ненужный «шум». 
При реализации аудита в больших сложных системах, состоящих из множества подсистем 
с собственными средствами протоколирования событий, иногда необходимо приложить 
специальные усилия по «синхронизации» журналов регистрации. В частности, поскольку 
в разных частях большой системы одни и те же объекты могут иметь разные имена и, на- 
против, разные объекты — одинаковые имена, администраторам, возможно, придется при- 
нять специальное соглашение об однозначном именовании объектов. 


Типовые архитектуры сетей, 
защищаемых файерволами 


Логическая сегментация защищаемой сети 


Мы рассмотрели функциональные возможности файерволов по защите одной сети от 
возможных атак, исходящих от другой сети. В простейшем случае первая сеть — это един- 
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ственная внутренняя сеть предприятия, а внешняя представлена всеми сетями Интернета, 
соединенными с внутренней сетью через единственную линию связи предприятия с про- 
вайдером Интернета. В реальности ситуация оказывается сложнее — сеть предприятия 
может состоять из нескольких сетей, при этом серверы и хосты этих сетей нуждаются 
в защите различного типа. Например, если в одной сети находится почтовый сервер и веб- 
сервер предприятия, а в другой — сервер базы данных клиентов предприятия, то доступ 
к ним должен регулироваться в соответствии с разными правилами. Если добавить к этому, 
что многие предприятия соединяют свои сети с Интернетом несколькими линиями связи 
и, возможно, через нескольких провайдеров, то защита сети предприятия приобретает еще 
одно измерение — защиту всего периметра сети с помощью нескольких файерволов, при 
этом их правила защиты должны быть согласованными. Под сетью периметра понимается 
совокупность всех связей корпоративной сети с внешними сетями — сетями провайдеров 
или корпоративными сетями других предприятий. 


Для надежной и эффективной защиты корпоративной сети она должна быть логически 
сегментирована таким образом, чтобы ресурсы каждой подсети в отношении мер защиты 
были подобными. Ресурсы корпоративной сети, к которым обращаются внешние пользо- 
ватели, безусловно, составляют в отношении мер безопасности отдельную группу — в нее 
входят почтовый сервер, веб-сервер, 0№5-сервер. Повсеместной практикой является 
выделение таких ресурсов в отдельную группу и размещение их в подсети, которая полу- 
чила название демилитаризованной зоны! (Чет аг!2е4 гопе, 0М7). В каком-то смысле 
зона ОМИ подобна транзитной зоне аэропорта, потому что пассажирам разрешается ис- 
пользовать только ресурсы этой зоны, а доступ к внутренним ресурсам авиапредприятия 
им закрыт. 


Рассмотрим особенности организации защиты ОМИ на примере сети, показанной на 
рис. 28.12. В этой сети на рубеже защиты установлено два маршрутизатора, между кото- 
рыми располагается демилитаризованная зона. Маршрутизаторы играют роль файерволов 
сетевого уровня. В данном случае сеть ОМА является и сетью периметра, так как только 
она соединяет внутреннюю сеть предприятия с внешними сетями. 


В сети ОМИ расположены два общедоступных сервера — внешний 0№$-сервер и внеш- 
ний веб-сервер предприятия. В этой зоне могут быть размещены также прокси-серверы. 
Учитывая, что само назначение этих компьютеров предполагает практически никак не 
ограничиваемый доступ к ним внешних пользователей (а значит, и злоумышленников), их 
необходимо защищать особенно тщательно. Главными задачами при защите этих компью- 
теров (называемых иногда компьютерами-бастионами) является обеспечение целостности 
и доступности размещенных на них данных для пользователей внешней сети. Эту задачу 
решают «индивидуальные» средства защиты, устанавливаемые на компьютерах-бастионах: 
антивирусные программы, фильтры спама и т. п. Кроме того, каждый сервер, к которому 
разрешено обращение внешних пользователей, должен быть сконфигурирован на под- 
держку минимально необходимой функциональности. Например, публичный 0№$-сервер 
предприятия не должен быть открытым для любых запросов, так как он может стать ин- 
струментом О роѕ-атаки. 


Чтобы пояснить, каким образом сеть периметра усиливает защиту внутренней сети, по- 
смотрим, что произойдет, если какой-либо злоумышленник сможет «взломать» первый 
рубеж защиты — внешний маршрутизатор — и начнет прослушивать трафик подключенной 


1 Иногда термины «сеть периметра» и «демилитаризованная зона» используются как синонимы. 
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к нему сети периметра. Очевидно, что он получит доступ только к трафику общедоступных 
серверов, который не является секретным. 


\ 
Общедоступный 
Внутренний сервер О№5 Внешний р ` 
сервер _ ти маршрутизатор! / \ 
омѕ Ш {У файервол | | 
Внутренний 259 | Внешняя сеть } 
ші. маршрутизатор/ \ / 
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Внутренний \ / 
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я, = зона (ОМ7) е 


Внутренняя сеть 


Рис. 28.12. Файервол на базе двух маршрутизаторов 


Внешний маршрутизатор призван фильтровать трафик с целью защиты сети периметра 
и внутренней сети. Однако строгая фильтрация в этом случае оказывается невостребованной. 
Общедоступные серверы по своей сути предназначены для свободного доступа. Что касается 
защиты внутренней сети, правила фильтрации для доступа к ее узлам и сервисам являются 
одними и теми же для обоих маршрутизаторов, поэтому внешний маршрутизатор может про- 
сто положиться в этом деле на внутренний маршрутизатор. Обычно внешний маршрутизатор 
находится в зоне ведения провайдера, и администраторы корпоративной сети ограничены 
в возможностях его оперативного реконфигурирования. Это является еще одной причиной, 
по которой функциональная нагрузка на внешний маршрутизатор обычно невелика. 


Основная работа по обеспечению безопасности локальной сети возлагается на внутренний 
маршрутизатор, который защищает ее как от внешней сети, так и от сети периметра. Прави- 
ла, определенные для узлов сети периметра по доступу к ресурсам внутренней сети, часто 
бывают более строгими, чем правила, регламентирующие доступ к этим ресурсам внешних 
пользователей. Это делается для того, чтобы в случае взлома какого-либо компьютера-ба- 
стиона уменьшить число узлов и сервисов, которые впоследствии могут быть атакованы 
с этого компьютера. Именно поэтому внутренний маршрутизатор должен отбрасывать 
все пакеты, следующие во внутреннюю сеть из сети ОМИ, исключая пакеты нескольких 
протоколов (например, НТТР, $МТР, ОМ№5$), абсолютно необходимых пользователям 
внутренней сети для обращения к внешним серверам, установленным в сети ОМИ или 
же за пределами корпоративной сети. Для исключения возможности обращения внешних 
пользователей к серверам внутренней сети можно разрешить пропуск к ней только тех 
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ТСР-пакетов, которые относятся к ТСР-сеансам, установленным по инициативе внутрен- 
них пользователей. Например, для маршрутизаторов С15со это можно сделать с помощью 
такой строки списка доступа: 


ассеѕ55-1151 200 регтії {ср апу 201.15.0.0 0.0.255.255 е5фаб11$Пеа 


Здесь 201.15.0.0/16 — диапазон адресов внутренней сети, а список доступа применяется во 


входном направлении к интерфейсу внутреннего маршрутизатора, к которому подключена 
сеть ОМИ. 


Защиту внутренней сети можно усилить, если в ней имеются аналоги внешних серверов, 
то есть в нашем примере это веб-сервер и О№$-сервер. В подобной конфигурации только 
этим серверам в случае необходимости разрешается взаимодействовать с серверами зоны 
ОМА, внутренние же пользователи работают напрямую лишь с внутренними серверами. 
Например, О№$-сервером по умолчанию для пользователей сети должен быть назначен 
внутренний О№8-сервер, и только ему позволено изнутри обращаться к внешнему ОМ5- 
серверу в том случае, когда он не может разрешить запрос самостоятельно. 


Защиту внутренних серверов можно усилить за счет использования частных ІР-адресов во 
внутренней сети. В этом случае внутренний маршрутизатор при трансляции частных адресов 
должен поддерживать режим МАРТ на своем интерфейсе, связывающем его с сетью ОМИ. 


Архитектура сети с защитой периметра 
и разделением внутренних зон 


Демилитаризованная зона является практически обязательным элементом защищенной 
архитектуры любой корпоративной сети, однако в общем случае такая сеть должна быть 
разбита на большее число сегментов со сходными требованиями к защите на основе филь- 
трации и анализа трафика. Этот подход иллюстрируется архитектурой сети, показанной 
на рис. 28.13, — достаточно крупная корпоративная сеть разделена на 6 сегментов, каждый 
из которых представляет отдельную ГР-сеть. 


Каждый из сегментов сети представляет собой отдельную зону безопасности. Сети зон 
соединены друг с другом через корпоративный файервол, непосредственной связи между 
этими сетями нет — такая архитектура позволяет надежно реализовывать правила по- 
литики безопасности для каждой зоны. Корпоративный файервол выполнен в виде двух 
устройств, работающих в режиме горячего резервирования, когда каждое из устройств 
реализует одни и те же правила фильтрации трафика, и в случае отказа одного из устройств 
работоспособное устройство без разрыва имеющихся соединений может продолжить об- 
служивать трафик, проходивший ранее через отказавшее устройство. 


Корпоративный файервол также контролирует интернет-трафик предприятия, который 
проходит через две линии связи с различными интернет-провайдерами — такое соединение 
достаточно типично для крупных корпоративных сетей, так как оно обеспечивает высокую 
надежность интернет-связи. 


Посмотрим на состав и требования к защите каждой из зон. 


Зона 1 представляет собой демилитаризованную зону предприятия с открытыми для 
публичного доступа серверами. Ее особенности мы уже рассмотрели. Иногда эту зону раз- 
деляют на две зоны, выделяя веб-серверы в отдельную зону, так как защита веб-сервисов 
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Рис. 28.13. Архитектура сети с несколькими зонами защиты 


Зона 2 — это зона внутрикорпоративных серверов, иногда называемая корпоративным 
порталом. Здесь сосредоточены все информационные ресурсы предприятия, к которым 
обращаются сотрудники в свое работе: внутренний веб-сервер, серверы баз данных, вну- 
тренний почтовый сервер, серверы приложений управления предприятием ит. п. К этой 
зоне должны иметь доступ только пользователи предприятия, доступ к ней внешних 
пользователей должен быть заблокирован. Но и для внутренних пользователей доступ 
к ресурсам этой зоны должен быть ограничен файерволом в соответствии с принципом 
минимальных привилегий. На уровне файервола он означает, что пользователям должен 
быть разрешен доступ только к портам тех приложений, которые им нужны в работе, а все 
остальные порты должны быть файерволом заблокированы. 


Зона 3 — это зона экстранет (ехітапеїѓ), где сосредоточены ресурсы, содержащие конфи- 
денциальные данные, к которым разрешен доступ только сотрудникам предприятий-пар- 
тнеров, а доступ из публичного домена Интернета — запрещен. Зона экстранет в нашем 
примере соединена с предприятиями-партнерами отдельной линией связи, возможно, 
через отдельного провайдера, и контролируется отдельным файерволом. В других случаях 
доступ к экстранет может проходить через общие для всех зон линии связи с Интернетом 
и контролироваться тем же файерволом. Для обеспечения конфиденциальности данных 
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может быть применена технология виртуальных частных сетей — в этом случае файервол 
должен выполнять также функции УРМ№-шлюза. 


Зона 4 — это внутренняя зона предприятия, в ней находятся клиентские компьютеры со- 
трудников предприятия. Для этой зоны разрешается установление соединений с корпора- 
тивным порталом (зона 2) и внешними серверами Интернета. Установление соединений 
с компьютерами этой зоны извне, то есть из Интернета и из любой другой зоны предпри- 
ятия, запрещается. 


Зона 5 объединяет мобильных сотрудников предприятия, то есть сотрудников, пользую- 
щихся удаленным доступом из дома или из сетей других предприятий или публичных про- 
вайдеров Интернета (например, из зон \УМ-ЁЕ! на вокзалах, аэропортах, кафе ит. п.). Обычно 
для хостов этой зоны устанавливаются те же правила доступа, что и для пользователей 
зоны 4, то есть они имеют доступ к ресурсам зоны 2 и могут устанавливать соединения 
с ресурсами Интернета. Для обеспечения конфиденциальности, как и в случае с экстранет, 
доступ мобильных пользователей осуществляется через защищенные каналы УРМ. 


Зона 6 объединяет серверы и клиентские компьютеры, используемые для администри- 
рования средств безопасности предприятия. Здесь сосредоточены серверы политики 
файерволов, антивирусной защиты, приложений обеспечения безопасности, таких как 
анализаторы трафика. 


К сети каждой зоны подключен сервер 105, который выполняет анализ трафика этой сети 
(или, по крайней мере, ее наиболее критичных сегментов) и предупреждает оператора 
систем безопасности о подозрительной активности. 


Файерволы корпоративной сети должны быть сконфигурированы так, чтобы их прави- 
ла отражали политику безопасности предприятия. Собственно, эта политика и должна 
определять структуризацию ресурсов сети на зоны, приведенный пример — только один 
из вариантов этой политики, хотя и достаточно типичный. Возможно и другое разбиение 
ресурсов на зоны — как более детальное, так и более укрупненное. Например, зона 5, 
объединяющая в нашем примере всех пользователей предприятия, работающих в его 
локальной сети (то есть не удаленно), может быть разбита на несколько зон с учетом ор- 
ганизационной структуры предприятия — так, в отдельную зону безопасности может быть 
выделен финансовый отдел. 


ГЛАВА 29 Атаки на транспортную 
инфраструктуру сети 


Атаки на транспортные протоколы 


ТСР-атаки 


Протокол ТСР используется злоумышленниками и как инструмент для организации атак 
(обычно — атак отказа в обслуживании), и как цель нападения — нарушение ТСР-сеанса 
атакуемого приложения, например, путем подделки сегмента. 


Затопление $\УМ-пакетами 


Этот тип Юо$-атаки активно применяется злоумышленниками на протяжении многих лет; 
впервые он был подробно описан (с приведением кода атаки) в 1996 году, и в том же году 
началось его практическое «применение», продолжающееся по сей день. Атакуемым яв- 
ляется конечный узел — как правило, сервер, работающий с клиентами по протоколу ТСР. 


Атака затоплением $ҮМ№-пакетами (ЗУМ ЕІооа) использует уязвимость процедуры 
установления логического соединения протокола ТСР. Как отмечено в главе 15, эта про- 
цедура основана на использовании флагов 5УМи АСК, переносимых в заголовке каждого 
ТСР-сегмента (рис. 29.1, а). Для реализации атаки злоумышленник организует передачу 
на сервер массированного потока пакетов с флагом 5 УМ, каждый из которых инициирует 
создание нового ТСР-соединения (рис. 29.1, 6). Получив пакет с флагом 5 УМ, сервер вы- 
деляет для нового соединения необходимые ресурсы и в полном соответствии с протоко- 
лом отвечает клиенту пакетом с флагами АСК и 5УМ. После этого, установив тайм-аут, он 
ожидает от клиента завершающий пакет с флагом АСК, который, увы, так и не приходит. 


Аналогичным образом создается множество других «недоустановленных» соединений. 
Обычно ОС сервера имеет лимит на количество одновременно поддерживаемых «недоуста- 
новленных» ТСР-соединений (глобально или для каждого программного порта отдельно), 
так как каждое открытое соединение требует выделения памяти ядра ОС для нового блока 
ТСВ (Тгапзши Сопќго! Воск). Этот блок содержит данные о состоянии соединения: сокет 
клиента, номер ожидаемого сегмента, указатель на положение сегмента в буфере и др. Блок 
ТСВ имеет размер от 280 до 1300 байт в зависимости от типа ОС. При достижении лимита 
ОС начинает отвергать все последующие запросы на установление ТСР-соединений и, сле- 
довательно, отказывает в обслуживании всем, в том числе легальным клиентам сервера. По 
истечении тайм-аута ОС удаляет из памяти блоки ТСВ «недоустановленных» соединений 
и начинает устанавливать новые соединения повторно. 


Для осуществления атаки затоплением 5ҮМ№-пакетами атакующий должен заблокировать 
нормальную реакцию своего компьютера на получение от атакуемого сервера сегмента 
с флагами 5УМ/АСК. Нормальная реакция состоит в том, что в соответствии с протоколом 
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Рис. 29.1. Проведение 005-атаки, в которой используются особенности протокола ТСР: 
а — нормальный порядок установления ТСР-соединения; б — 005-атака путем создания 
множества незакрытых ТСР-соединений 


ТСР атакующий должен отправить в ответ сегмент с флагом АСК. Но если это про- 
изойдет, то атакуемый сервер посчитает процедуру установления ТСР-соединения 
завершенной, удалит соответствующий блок ТСВ из списка «недоустановленных» 
соединений и начнет принимать новые соединения. Таким образом, атака не удастся. 
Поэтому атакующий фильтрует входящий трафик, отсеивая ответы 5 ҮМ/АСК от атаку- 
емого сервера. Обычно атака затоплением ЗУМ-пакетами обнаруживается посредством 
выявления в трафике большого количества ЗУМ-сегментов без соответствующего ко- 
личества АСК-сегментов, идущих от того же источника. При этом заметного всилеска 
сетевого трафика может и не быть, так как лимит «недоустановленных» соединений сам 
по себе не столь велик. Главным средством борьбы с атакой затоплением 5УМ-пакетами 
является фильтрация трафика, поступающего от источника атаки. Для этого нужно опре- 
делить адрес атакующего узла, что в ряде случаев сделать непросто — атакующий может 
помещать 5УМ-сегменты в [Р-пакеты с «поддельным» адресом отправителя, применяя 
спуфинг. Спуфинг помогает атакующему преодолеть защитный фильтр и избавиться от 
вредящих ему ответных 5ҮМ/АСК-сегментов атакуемого сервера. Для этого ему доста- 
точно выбрать в качестве «поддельных» адреса, которые не будут реагировать на ЗУМ/ 
АСК-сегменты, — например, адреса несуществующих узлов. 


ПРИМЕЧАНИЕ 


Спуфинг ІР-адресов источника используется во многих типах атак, поэтому борьба с ним — есте- 
ственный элемент обеспечения сетевой безопасности. Основным средством борьбы является приме- 
нение на маршрутизаторах техники проверки обратного пути (Кеуегѕе Раф СЪеск, КРС). Идея этой 
проверки достаточно проста — пакет должен передаваться маригругизатором в соответствии с его 
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адресом назначения только в том случае, если его адрес источника имеется в таблице маршрутизации 
для интерфейса, с которого этот пакет получен. Действительно, если компьютер злоумышленника 
подключен к сети 212.100.100.0/24, но генерирует пакеты с адресом источника 25.0.30.18, то маршру- 
тизатор провайдера, к которому подключена сеть 212.100.100.0/24, легко может проверить, что через 
интерфейс, на который был получен пакет с подделанным адресом, достичь сети 25.0.30.18 нельзя, 
а значит, пакет нужно отбросить. Однако техника КРС работает не всегда. В тех случаях, когда сеть 
злоумышленника имеет несколько подключений к сетям разных провайдеров, может произойти от- 
брасывание легитимных пакетов. 


Преодоление атаки путем фильтрации также осложняется, когда поток 5УМ-сегментов 
поступает на атакуемый сервер сразу от сотен зараженных компьютеров какой-нибудь 


сети ботов, то есть когда имеет место распределенная атака затоплением $ҮМ№-пакетами 
(0.005 5$УМ Е] оо9). 


Другим способом борьбы с атакой затоплением ЗУМ-пакетами является изменение параме- 
тров протокола ТСР — увеличение предельного числа «недоустановленных» соединений, 
уменьшение тайм-аута вытеснения старых «недоустановленных» соединений, усложнение 
логики самой процедуры установления соединения, например, введения специальных 
соое-блоков 5УМ. В этом методе при приеме запроса ЗУМ-сервер не запоминает блок ТСВ 
в своей оперативной памяти, а посылает его (в сжатом виде) клиенту вместе с ЗУМ/АСК- 
ответом. При нормальном ходе установления соединения клиент отвечает АСК-сегментом, 
в котором повторяет сжатый блок ТСВ. Сервер, получив этот АСК-сегмент, а с ним и все 
параметры устанавливаемого соединения, создает соответствующий блок ТСВ в памяти 
своего ядра. Поскольку в этой модифицированной процедуре на начальном этапе уста- 
новления соединения ресурсы на сервере не выделяются, то и атака затоплением 5ҮМ№- 
пакетами не удается. Разновидностью ТСР-атаки затоплением 5ҮМ-пакетами является 
ТСР-атака затоплением АСК-пакетами, выполняемая путем отражения. Злоумышленник 
посылает 5ҮМ№-пакеты, в поле адреса источника которых помещен адрес жертвы, на боль- 
шое количество серверов. Последние отвечают на 5ҮМ-пакеты пакетами с установленным 
битом АСК, «бомбардирующими» атакуемый компьютер и исчерпывающими пропускную 
способность его входного интерфейса. Этот прием превращает РоЗ-атаку в О 00$-атаку 
без использования сети ботов, так как все компьютеры, отвечающие на ЗУМ№-запросы, не 
заражаются предварительно каким-либо вирусом, а работают в полном соответствии со 
стандартной версией протокола ТСР. 


Подделка ТСР-сегмента 


Протокол ТСР предназначен для надежной транспортировки сообщений. Для этого 
каждый сегмент данных сопровождается порядковым номером первого байта сегмента, 
причем начальные значения этих номеров для каждой из двух сторон, обменивающихся 
данными, выбирается случайным образом. При приеме очередного сегмента протокол ТСР 
проверяет, находится ли его порядковый номер в пределах окна приема, и только в случае 
положительного результата такой проверки добавляет принятые данные к байтам, при- 
нятым ранее в ходе данного ТСР-сеанса. Описанная проверка предназначена для защиты 
сегментов некоторого ТСР-сеанса от смешивания с сегментами других сеансов, но этот 
механизм защиты не так уж надежен, чем и пользуются злоумышленники. 


Атака подделкой ТСР-сегмента состоит в генерации ТСР-сегментов, все атрибуты кото- 
рых имеют значения, легитимные для некоторого существующего ТСР-сеанса атакуемого 
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компьютера, то есть ІР-адреса, номера ТСР-портов источника и приемника, а также по- 
рядковые номера из текущего диапазона окна приема. Принимающая сторона не может 
отличить такие поддельные сегменты от настоящих и помещает информацию злоумыш- 
ленника в поток пользовательских данных, а значит, злоумышленник может добиться 
желаемого эффекта, например, поместить ложную информацию в базу данных, заразить 
атакуемый компьютер вирусом ит. п. 


Чтобы «поддельный» сегмент выглядел как настоящий, атакующий может либо прослу- 
шивать трафик, либо просто перебирать все возможные значения адресов, портов и по- 
рядковых номеров сегментов. Прослушивание трафика представляет собой отдельную 
нетривиальную задачу, включающую перенаправление трафика (об атаках такого типа 
см. далее). В то же время перебор параметров ТСР-сеанса требует большой вычислитель- 
ной мощности компьютера атакующего. В обоих случаях атаковать проще длительные 
ТСР-сеансы, например сеансы загрузки больших видеофайлов (короткие сеансы веб- 
серфинга намного менее уязвимы). 


Разновидностью подделки ТСР-сегментов является их повторное использование. Если 
злоумышленник смог каким-то образом перехватить трафик между двумя участниками 
ТСР-сеанса, то впоследствии он может просто посылать участникам сеанса дубликаты 
перехваченных сегментов. Этот прием может применяться злоумышленником для разных 
целей — например, для нарушения работы некоторого приложения за счет представления 
устаревшей (перехваченной) информации в качестве новой. 


Сброс ТСР-соединения 


Атака сбросом ТСР-соединения используется для разрыва ТСР-соединений легальных 
пользователей. Для проведения атаки злоумышленник должен подделать заголовок ТСР- 
сегмента. При поступлении ТСР-сегмента с установленным флагом А.5Т узел должен 
немедленно завершить сеанс, к которому относится этот сегмент, и удалить все данные, 
полученные в ходе сеанса. Разработчики протокола ТСР ввели этот флаг для обработки 
аварийных ситуаций. Например, если в одном из узлов во время ТСР-сеанса происходит 
сбой, то после восстановления системы он может послать сегмент с этим признаком, чтобы 
уведомить узел-собеседник о невозможности продолжения сеанса. Сброс соединения ис- 
пользуется также некоторыми файерволами для прекращения атаки. 


Борьба с атаками подделкой ТСР-сегмента и сбросом ТСР-соединения может вестись 
по двум направлениям. Первое направление связано с предотвращением прослушива- 
ния трафика. Второе направление основано на изменении поведения самого протокола 
ТСР — например, путем включения дополнительной процедуры аутентификации каждого 
ТСР-сегмента с использованием цифровой подписи. Как известно, цифровая подпись не 
обеспечивает конфиденциальности (содержимое защищаемых полей не шифруется), но 
она гарантирует, что ТСР-сегмент не был изменен третьей стороной. 


|СМР-атаки 


Атака перенаправлением трафика может быть осуществлена в самых разных целях (одна 
из них раскрыта в процессе рассмотрения атаки подделкой ТСР-сегментов). При этом 
существует несколько способов перенаправления трафика. Так, в пределах локальной 
сети эту задачу можно решить с помощью протокола ІСМЕР. В соответствии с данным про- 
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токолом маршрутизатор посылает хосту непосредственно присоединенной локальной 
сети ІСМР-сообщение о перенаправлении маршрута при отказе этого маршрута или в тех 
случаях, когда обнаруживает, что для некоторого адреса назначения хост использует не- 
рациональный маршрут. На рис. 29.2 применяемый по умолчанию маршрутизатор К1, 
получив от хоста Н1 пакет, адресованный хосту Н2, определяет, что наилучший маршрут 
к хосту Н2 пролегает через маршрутизатор К2. Маршрутизатор Кі отбрасывает получен- 
ный пакет и помещает его заголовок в ІСМР-сообщение о перенаправлении маршрута, 
которое посылает хосту Н1. В сообщении содержится ІР-адрес альтернативного маршру- 
тизатора К2, который теперь должен использовать хост, посылая данные хосту Н2. Хост Н1 
вносит изменения в свою таблицу маршрутизации и с этого момента отправляет пакеты 
хосту Н2 по новому скорректированному маршруту. 


Исходная таблица ІСМР-сообщение 
маршрутизации хоста Н1 маршрутизатора К1 


Адрес маршрутизатора К2 


Заголовок пакета, 
Е направленного хосту Н2 


Исходный маршрут 


-- 
------.-.. 
1 р 
- 
— 


Скорректированный маршрут 


-- => --- 
- „= — 
--- – - 
О--- -- 
-- „- 
------ 


Рис. 29.2. Перенаправление маршрута предлагаемым по умолчанию маршрутизатором 


Для перехвата трафика, направляемого хостом Н1 хосту Н2, злоумышленник должен 
сформировать и послать хосту Ні пакет, маскирующийся под ІСМР-сообщение о перена- 
правлении маршрута (рис. 29.3). В этом сообщении содержится запрос о корректировке 
таблицы маршрутизации хоста Н1, предусматривающей установку во всех пакетах с адре- 
сом [Рн? в качестве адреса следующего маршрутизатора адреса ГРнд, являющегося де-факто 
адресом хоста-злоумышленника НА. 


Чтобы хост «поверил» этому сообщению, в поле ІР-адреса отправителя должен быть поме- 
щен адрес предлагаемого по умолчанию маршрутизатора К1. Когда пакеты, передаваемые 
введенным в заблуждение хостом, начнут поступать на узел злоумышленника, он может 
либо захватывать и не передавать эти пакеты дальше, имитируя для поддержания диалога 
приложение, которому эти пакеты предназначались, либо организовать транзитную пере- 
дачу данных по указанному адресу назначения 1Рн›. Читая трафик между узлами Н1 и Н2, 
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Измененная таблица Ложное ІСМР-сообщение 
маршрутизации хоста Н1 атакующего хоста НА 


'| Перенаправленный 
Исходный / | 2 маршрут 
ГА . 
маршрут ‚ |: 
! 


Рис. 29.3. Перенаправление маршрута злоумышленником 


злоумышленник получает всю необходимую информацию для несанкционированного до- 
ступа к серверу Н2. Сами маршрутизаторы также могут реагировать на ІСМР-сообщения 
о перенаправлении маршрута, но обычно провайдеры отключают эту опцию для предот- 
вращения атак данного типа. 


Заметим, что простейший вариант перенаправления трафика в локальной сети может 
быть осуществлен путем отправки в сеть ложного АКР-ответа. В данном случае схема 
очевидна: получив широковещательный АКР-запрос относительно некоторого ІР-адреса, 
злоумышленник посылает ложный АКР-ответ, в котором сообщается, что данному ІР- 
адресу соответствует его собственный МАС-адрес. 


ІСМР-атака ЗтигЁ — это 0 00$-атака, использующая функцию эхо-запроса протокола 
[СМР Название атаки произошло от имени файла ѕтиг.с, содержащего код атаки и полу- 
чившего распространение в 1998 году. 


Эхо-запросы и эхо-ответы протокола [СМР больше известны по утилите ріпр!, с помощью 
которой можно проверить достижимость узла Интернета. Для проверки достижимости 
утилита ріпе посылает тестируемому узлу ІСМР-пакет, в котором в качестве типа со- 
общения указан код 8 (эхо-запрос). Получив его, тестируемый узел отправляет в обратном 
направлении ІСМР-пакет с кодом 0 (эхо-ответ). Атака ЗтигЁ тоже строится на возмож- 
ности отправки эхо-запроса не только по индивидуальному, но и по широковешательному 
(Бтоайсаѕі) адресу некоторой сети. Например, если у сети адрес 200.200.100.0/24, то ее 
широковещательный адрес — 200.200.100.255, и эхо-запрос должен быть доставлен всем 
узлам этой сети (рис. 29.4). 


І См. раздел «Утилита ршв> в главе 14. 
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1 Промежуточная сеть, 


| поддерживающая 4 р, 
( широковещание Интернет 4 
К 200.200.100.0/24 
р Эхо-запрос 


—/ 


в. | Сеть жертвы 
195.204.20.0/24 


Сеть злоумышленника 
167.50.31.0/24 


Проверка адреса 
источника 


Рис. 29.4. Компоненты ІСМР-атаки Эти! 


Компьютер злоумышленника с адресом 167.50.31.17 находится в сети 167.50.31.0/24, 
а атакуемый компьютер имеет адрес 195.204.20.145 и подключен к сети 195.204.20.0/24. 
Компьютер злоумышленника генерирует эхо-запросы с адресом приемника 200.200.100.255 
и адресом источника 195.204.20.145. Эхо-запросы передаются через Интернет в сеть 
200.200.100.0.24 и принимаются всеми узлами этой сети, которые отвечают на ІСМР- 
запросы эхо-ответами. В том случае, когда в сети 200.200.100.255 имеется достаточно боль- 
шое количество активных узлов (понятно, что их не может быть более 254), на атакуемый 
узел 195.204.20.145 приходит интенсивный поток эхо-ответов, так как именно его адрес 
указан в эхо-запросах как адрес источника. В результате сетевой интерфейс атакуемого 
компьютера оказывается затопленным эхо-ответами и при превышении интенсивности 
этого потока некоторой величины его пропускная способность оказывается исчерпанной. 


В ІСМР-атаке ЅтигЁ используется характерный прием — усиление атаки за счет от- 
ражения посланного пакета большим количеством компьютеров. Необходимо, впрочем, 
отметить, что сегодня [СМР-атака ЗтигЁ представляет скорее исторический интерес. До 
1999 года передача через Интернет [Р-пакета с широковещательным адресом была обяза- 
тельной для маршрутизаторов Интернета, но из-за атак, подобных Ѕтигі, в стандарты было 
внесено изменение, и сегодня предлагаемым по умолчанию режимом является фильтрация 
пакетов с широковешательными адресами. Кроме того, промежуточная сеть, узлы которой 
используются для отражения эхо-запроса, может быть экранирована с помощью файервола 
от эхо-запросов, приходящих из внешних сетей. 


Атака с драматическим названием «Пинг смерти» (Ріпр оѓ ОеаВ) состоит в отправке на 
атакуемый компьютер эхо-запроса в [Р-пакете, длина которого превышает его допустимый 
размер, составляющий, согласно стандарту, 65 535 байт. Поскольку соответствующий бу- 
фер ядра ОС не рассчитан на такую длину пакета, ОС терпит крах, отсюда и название ата- 
ки, основанной на превышении размера буфера при сборке фрагментированного ІР-пакета 
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и, таким образом, являющейся частным случаем атак, использующих [Р-фрагментацию 
(см. далее). К слову, база для атаки «Пинг смерти» давно ликвидирована — разработчики 
ОС еще в середине 90-х годов ввели в стек ТСР/ІР проверку длины собираемого фраг- 
ментированного [Р-пакета. 


Другая атака, называемая Ріпе-затоплением, также является достаточно простой — злоу- 
мышленник использует утилиту ріпе своей ОС для отправки эхо-запросов на атакуемый 
компьютер с максимально возможной частотой. Если быстродействие сетевого интерфейса 
его компьютера выше, чем у атакуемого компьютера, то атака удается, так как вся входная 
пропускная способность интерфейса атакуемого компьютера оказывается исчерпанной. 
К тому же атакуемый компьютер будет успевать отвечать на часть эхо-запросов эхо-от- 
ветами, что приведет к частичному исчерпанию пропускной способности в выходном 
направлении, а также к замедлению работы программ из-за отвлечения центрального 
процессора на обработку эхо-запросов. 


ЦОР-атаки 


Атака ООР-затоплением относится к Ю0$-атакам и имеет целью исчерпание пропускной 
способности интерфейса атакуемого компьютера. Она подобна только что рассмотренной 
атаке Ршб-затопления, когда злоумышленник просто направляет интенсивный поток (ОР- 
дейтаграмм на атакуемый компьютер. Поскольку протокол ОПР работает без установления 
соединения, то атакуемый компьютер обязан принимать все направляемые ему ЧРрР- 
дейтаграммы, так как не может, как это делается при обмене данными по протоколу ТСР, 
заставить передающий компьютер ограничить интенсивность потока направляемых ему 
пакетов, уменьшив размер окна приема. Злоумышленник может использовать аппаратный 
генератор трафика для того, чтобы генерировать ООР-трафик с максимально возможной 
скоростью выходного интерфейса, игнорируя ответные ІСМР-сообщения в тех случаях, 
когда у атакуемого компьютера программный порт, указанный в ООР-пакетах, не открыт. 


Слабым местом такого вида атак является то, что их интенсивность принципиально огра- 
ничена производительностью интерфейса атакующего компьютера. Имея стандартный для 
пользовательского компьютера интерфейс 1 Гбит/с, невозможно затопить ООР-пакетами 
сервер с интерфейсом 10 Гбит/с. Злоумышленник может преодолеть это ограничение, если 
в его распоряжении имеется сеть ботов. Именно такой подход был использован в 2007 году, 
когда была осуществлена массированная Юр 00$-атака ООР-затоплением на корневые 
ОМ№5-серверы, при этом трафик создавался примерно пятью тысячами ботов (подробнее 
см. раздел «Атаки на ОМ»). 


Атака ІСМР/ОРР-затоплением имеет двойное имя, так как в ней используется два прото- 
кола. Злоумышленник направляет интенсивный поток (7 ОР-пакетов, в которых в качестве 
адреса источника указан адрес компьютера-жертвы, на программные порты компьютеров, 
находящиеся в пассивном состоянии (то есть в данный момент с этими портами не связаны 
приложения, слушающие сеть). При получении ООР-пакета с номером пассивного порта 
компьютер в соответствии с логикой работы стека ТСР/ЛІР отвечает ІСМР-сообщением 
о недостижимости порта назначения, которое направляется атакуемому компьютеру. Как 
видно из описания, в атаке имеет место отражение от компьютеров промежуточной сети; 
в случае использования широковещательного адреса она становится Юр 00$-атакой. Для 
предотвращения этой атаки применяют те же меры, что и для предотвращения ІСМР-атаки 
тиг — дополнительно реализуется пропуск файерволом только тех ООР-пакетов, порты 
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которых соответствуют активным приложениям компьютеров сети. Кроме ТОГО, МОЖНО 
ограничить интенсивность сообщений о недостижимости порта назначения компьютеров 
сети. 


Атака ОРрР /есһо/сһагееп-затоплением похожа на описанную выше — в ней также име- 
ет место отражение ООР-пакетов, но при этом пакеты отправляются с номером порта 7 
или 19. Эти порты обычно активны, они поддерживают сервисы есһо (порт 7) и сһагвеп 
(порт 19), использующие протокол ОРР, Сервис сһагӯеп в ответ на запрос генерирует 
строку случайных символов случайной длины от 0 до 512 и посылает ее обратившемуся 
хосту. Этот сервис был встроен в ОС Ух для отладки ее сетевых функций. Аналогичное 
назначение имеет сервис есһо (не путать с эхо-запросами и эхо-ответами протокола [СМР), 
возвращающий строку любого запроса по адресу обратившегося хоста. В простейшем 
случае атакующий посылает ОРР-пакеты на порт 7 и/или 19 некоторого промежуточного 
хоста и указывает обратный адрес атакуемого хоста. Промежуточный хост начинает «бом- 
бардировать» атакуемый хост ответами сервисов сВагбеп и/или есһо. При этом усиления 
атаки не происходит, так как объем ответных сообщений невелик; для усиления может быть 
использован широковещательный адрес промежуточной сети. Более интересной выглядит 
атака, когда атакующий посылает пакет с портом 19 и указывает в нем исходный порт 7. 
В этом случае единственный пакет атакующего вызывает бесконечный обмен пакетами 
между сервисом сһагреп промежуточного хоста и сервисом есһо атакуемого хоста. 


|Р-атаки 


Протокол ІР сам по себе не предоставляет злоумышленникам особых шансов для атак, так 
как работает без установления соединения и достаточно прост в реализации. Тем не менее 
некоторые возможности для [Р-атак существуют. Рассмотрим их. 


Атака на ГР-опции представляет собой П05$-атаку на маршрутизаторы, в которой исполь- 
зуется поле дополнительных опций протокола [Р. 


В ІРо4 заголовок [Р-пакета может включать поле опций, задающих некоторую нестан- 
дартную обработку пакета маршрутизатором. Например, существует опция строгой 
маршрутизации от источника, позволяющая отправителю [Р-пакета задать точный список 
адресов промежуточных маршрутизаторов, через которые должен проходить маршрут до- 
ставки пакета, в то время как опция свободной маршрутизации от источника задает лишь 
некоторые из промежуточных маршрутизаторов маршрута. Опция фиксации маршрута 
требует от маршрутизаторов фиксации в пакете адресов промежуточных маршрутизаторов, 
передающих пакет. Отметим, у производителей маршрутизаторов имеется возможность 
определять свои типы опций. 


Поскольку у большинства ІР-пакетов поле опций отсутствует, для продвижения пакетов 
маршрутизатор задействует специализированные процессоры портов, выполняющих эту 
операцию очень быстро и экономно. Но если встречается пакет с полем опций, то процессор 
порта его обработать не может и передает пакет центральному процессору маршрутизатора. 
В результате обработка трафика замедляется. Поэтому если на маршрутизатор поступает 
интенсивный поток пакетов, у которых присутствует одна или несколько опций, то его 
работа может существенно замедлиться, вплоть до отказа в обслуживании нормальных 
пакетов. Ситуация усугубляется, когда в пакете указаны две взаимоисключающие опции, 
например, строгой маршрутизации от источника и свободной маршрутизации от источника 
с разными промежуточными адресами. 
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Спецификация /Роб допускает наличие нескольких заголовков в пакете — основного 
и нескольких дополнительных. Вместо полей опций в пакете ГРуб могут присутствовать 
дополнительные заголовки, одним из которых является заголовок пошаговых опций (Нор- 
Бу-Бор ОрЧоп5). Как и в случае опций [РуУ4, опции дополнительного заголовка пошаговых 
опций Г1Руб обрабатываются центральным процессором маршрутизатора. Помещение 
в такой заголовок большого числа опций неопределенного типа будет замедлять работу 
маршрутизатора ГРуб. Обычная практика борьбы с подобной атакой — фильграция (от- 
брасывание) всех пакетов, в заголовке которых имеются опции. Возможно также игнори- 
рование всех или некоторых опций. 


Атака на фрагментацию направлена на конечные узлы ІР-сетей, в обязанность которых 
входит сборка фрагментированного ІР-пакета. Для подобных атак используются некоторые 
уязвимости, присущие операциям сборки, например: 


О Превышение максимальной длины пакета (переполнение буфера сборки). Этот способ 
атаки уже был упомянут при описании атаки «Пинг смерти». Максимальное значение 
смещения фрагмента равно (213 – 1) х8 = 8191 х 8 = 65 528. Так как максимальная длина 
[Р-пакета равна 65 535 байт, очевидно, что последний фрагмент не должен иметь длину 
более 7 байт. Задавая фрагмент с максимальным смещением и размером в 8 и более 
байт, злоумышленник переполняет буфер ядра ОС, что может привести к падению ОС. 


О Перекрытие сегментов за счет специального подбора смещений и длин фрагментов. 
Некоторые ОС не справляются со сборкой таких пакетов и падают. Например, эта 
уязвимость используется в атаке ТеагЯгор. 


О Замешение фрагментов. Эта По$-атака используется для обмана таких защитных 
средств, как файерволы и системы обнаружения вторжений. Пакеты атаки фрагменти- 
руются и посылаются вместе с фрагментами-дубликатами, в которых содержится без- 
обидная информация. Первым посылается безобидный фрагмент, а следом — фрагмент, 
содержащий код атаки, но с такими же смещением и длиной. В результате фрагмент 
атаки замещает безобидный фрагмент. Не все файерволы и системы обнаружения 
вторжений распознают фрагментированную таким образом атаку. 


Сетевая разведка 


Как можно увидеть из описания атак на транспортные протоколы, многие из них требуют 
предварительных знаний об атакуемой сети и ее хостах. Например, для проведения {СМР- 
атаки тит нужно найти промежуточную сеть с большим количеством хостов, отвечающих 
на эхо-запросы, при этом такая сеть должна быть достижима для пакетов с широковеща- 
тельным адресом этой сети, посланных из сети злоумышленника; безусловно, должен быть 
известен и /Р-адрес атакуемого компьютера. Если злоумышленник хочет задействовать 
сеть ботов, зараженных вирусом определенного типа, то ему понадобится просканировать 
большое количество компьютеров на отклик по определенному порту, который исполь- 
зуется этим вирусом для получения команд от контроллера атаки. Дело в том, что вирусы 
стараются распространиться на возможно большее число компьютеров, но нельзя сказать 
заранее, будет ли успешным такое внедрение для какого-то определенного хоста — это 
зависит от конфигурации средств защиты и других параметров ОС хоста. Поэтому злоу- 
мышленник заранее не знает, какие хосты он может использовать в качестве членов сети 
ботов, даже если именно он инициировал распространение этого вируса. А возможно, он 
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просто решит воспользоваться известным вирусом, распространенным другими лицами, 
и поэтому ему нужно собрать сведения о зараженных компьютерах. 


Вот почему почти любую атаку предваряет сетевая разведка, при которой злоумыш- 
ленник пытается собрать необходимые для атаки сведения. Конкретный набор сведений 
зависит от типа атаки, но чаще всего сетевая разведка включает сбор следующих данных: 
ІР-адреса активных (то есть включенных, отвечающих на сетевой трафик) хостов; номера 
активных ГСР-портов; номера активных и пассивных О,ОР-портов хостов; тип и версии 
ОС и приложений. 


Обнаружение ІР-адресов активных хостов сети называют сканированием сети (пе{\гогк 
5сапп!п8), а активных и пассивных портов — сканированием портов (рогі ѕсаппіпе). Сам 
термин «сканирование» говорит о том, что злоумышленник тестирует один за другим все 
возможные значения ІР-адресов некоторой подсети (например, для подсети с маской /24 — 
254 значения) или номера портов (65 535 номеров и для ТСР, и для ОРЮР). Вот наиболее 
распространенные приемы сканирования сети: 


О Пинг! ТСР ЗУМ к одному из публично доступных портов, чаще всего к порту 80 (порт 
веб-сервера), который с большой степенью вероятности (но, конечно, не обязательно) 
открыт для внешнего доступа. Если хост отвечает пакетом ЗУМ/АСК, то сканер считает, 
что хост активен, и завершает ТСР-соединение пакетом с признаком КТ. 


Ч Пинг ТСР АСК позволяет во многих случаях обойти файервол, если тот блокирует вы- 
бранный порт. Обычной практикой конфигурирования файервола является разрешение 
трафика уже установленных ТСР-соединений, а признаком принадлежности пакета 
к такому соединению является наличие установленного флага АСК. В том случае, ког- 
да пинг ТСР ЗУМ к некоторому порту не проходит, а ТСР АСК проходит, результатом 
сканирования становится заключение: хост активен, но защищен файерволом — такая 
информация может быть ценной для злоумышленника. 


Ц Пинг ОРЮР. На тестируемый хост направляется ООР-пакет с номером порта, который, 
как рассчитывает злоумышленник, с большой степенью вероятности является пассив- 
ным. В том случае, когда компьютер включен и этот порт пассивен, сканер получает 
в ответ ІСМР-сообщение о недоступности порта; если же компьютер отключен, то 
злоумышленник получает сообщение от маршрутизатора о недоступности хоста. 


О Пинг ІСМР. Администраторы сетей чаще всего блокируют эхо-запросы протокола 
ІСМР, однако для проверки активности хоста злоумышленник может использовать 
другие типы [СМР-запросов, например запрос о длине маски ІР-адреса (код 17) или 
запрос синхронизации времени протокола ІСМР (код 13). 


О Пинг ТР. На исследуемый компьютер направляется 1Р-пакет с кодом протокола, от- 
личным от кодов протоколов ТСР, ОрР и ІСМР Скорее всего, такой тип протокола не 
поддерживается стеком ТСР/ЛІР данного компьютера, и в том случае, если хост активен, 
в ответ будет послано ІСМР-сообцение о недостижимости протокола. 


Подобные же методы применяются и для сканирования портов. Здесь предпочтение отда- 
ется ЗУМ-сканированию протокола ТСР, так как это самый быстрый способ, что в данном 
случае имеет значение — в отличие от сканирования хостов здесь проверяются десятки ты- 
сяч портов (по 65 535 портов для ТСР и ОПР). Сканирование портов часто осуществляется 


1 В этом перечне процедур термин «пинг» использован в широком смысле — он не указывает кон- 
кретно на утилиту ріпе, работающую по протоколу {СМР а говорит о том, что данные процедуры, 
подобно утилите ритв, тестируют активность хоста с определенным ІР-адресом. 
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с помощью тех же специализированных программных средств, что и для инвентаризации 
сети и аудита ее защищенности. 


Сканирование сети и портов обычно не проходит незамеченным — очень вероятно, что 
средства протоколирования событий ОС и файерволов зафиксируют этот процесс, и адми- 
нистратор сканируемой сети начнет расследовать инцидент. И первый вопрос, возникающий 
при этом: с какого адреса выполнялось сканирование? Чтобы избежать раскрытия, злоу- 
мышленники часто используют спуфинг [Р-адреса. На первый взгляд кажется, что в сетевой 
разведке этот прием не может сработать, так как злоумышленнику нужно получать ответы на 
свой компьютер, иначе он не может получать информацию. Тем не менее спуфинг [Р-адреса 
возможен и при сканировании. Одним из приемов является маскировка его среди множества 
других адресов: тестовые сканирующие пакеты отправляются с действительного [Р-адреса 
наряду с множеством таких же пакетов, но с поддельными адресами. Расчет здесь делается 
на то, что при расследовании факта сканирования трудно будет установить, кто являлся 
истинным организатором сканирования, а кого просто использовали как прикрытие. Еще 
более изощренным является так называемое «пустое» сканирование, когда истинный адрес 
никогда не указывается, а результаты сканирования злоумышленники пытаются понять по 
реакции третьего компьютера, адрес которого подделывается. 


Атаки на ОМ№$ 


Центральная роль службы ОМ делает ее, с одной стороны, желанной целью атакующего, 
поскольку нарушение работы ОМ наносит огромный ущерб работе сети, а с другой — 
мощным средством для проведения атак на другие сетевые механизмы, потому что многие 
из них оказываются безоружными перед этой глобальной службой. 


О№$-спуфинг 


В этой атаке ОМ является не целью, а средством (рис. 29.5). Рассмотрим пример, в кото- 
ром злоумышленник использует О№$-спуфинг для получения доступа к корпоративному 
серверу мм.ехатріе.сот. Для этого ему нужны аутентификационные данные какого-ни- 
будь его клиента. 


Он решает перенаправить поток данных, которые легальный корпоративный клиент по- 
сылает корпоративному серверу, на свой компьютер. Для этого нужно опередить ответ 
ОМ№-сервера резольверу клиента и навязать ему свой вариант ответа, в котором вместо 
[Р-адреса корпоративного сервера (в примере — 193.25.34.125) злоумышленник указывает 
ІР-адрес атакующего хоста (203.13.1.123). На пути реализации этого плана имеется не- 
сколько серьезных препятствий. 


Прежде всего необходимо задержать ответ 0№$-сервера, например, подвергнув его Оо$- 
атаке. Другая проблема связана с определением номера порта О№$-клиента, который 
необходимо указать в заголовке пакета, чтобы данные дошли до приложения, так как 
если серверная часть 0О№5 имеет постоянно закрепленный за ней так называемый хорошо 
известный номер порта 53, то клиентская часть протокола ОМ$ получает номер порта 
динамически при запуске, причем ОС выбирает его из достаточно широкого диапазона. 
Эту задачу злоумышленник решает путем прямого перебора всех возможных номеров. 
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Корпоративный сервер 
муууу.ехатріе.сот 
с |Р-адресом 193.25.34.125 


ОМ№-запрос клиента 


мииими.ехатр!е.сот?? 


Атакующий хост 
с |Р-адресом 203.12.1.123 


ОМ№$-сервер 


Рис. 29.5. Схема перенаправления трафика путем использования ложных ОМ$-ответов 


Также путем перебора возможных значений преодолевается и проблема определения 
идентификаторов О№$-сообщений. Эти идентификаторы передаются в О№$-сообщениях 
и служат для того, чтобы ОМ№$-клиент мог установить соответствие поступающих ответов 
посланным запросам. Итак, злоумышленник «бомбардирует» клиентскую машину лож- 
ными О№5-ответами, перебирая все возможные значения идентифицирующих полей так, 
чтобы клиент, в конце концов, принял один из них за истинный О№5-ответ. Как только 
это происходит, цель злоумышленника можно считать достигнутой: пакеты от клиента 
направляются на адрес атакующего хоста, злоумышленник получает в свое распоряжение 
имя и пароль легального пользователя, а с ними — и доступ к корпоративному серверу. 


Атаки на корневые ОМ№$-серверы 


Наиболее мощными и ощутимыми по своим последствиям были Ю 00$-атаки на корневые 
серверы, случившиеся 21 октября 2002 года и 6-7 февраля 2007-го. 


Подробности атаки 21 октября 2002 года приводятся в отчете специалистов, администри- 
рующих корневые серверы": 


О Атака длилась чуть больше часа и была направлена на все 13 корневых серверов. 


О Атака была комбинированной: использовались методы ІСМР-атаки рш5-затоплением, 
ТСР-атаки затоплением 5УМ-пакетами, атаки фрагментированными 1Р-пакетами 
и атаки ООР-затоплением. 


1 Бир: //4.гоок-зегуегз.огв/оскоБег2 1х. 
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О Интенсивность атаки на сервер — 50-100 Мбит/с; суммарная интенсивность — 
900 Мбит/с. 


О В атаке использовался спуфинг ІР-адресов, отследить реальные источники атаки не 
удалось. 


Служба ОМ№5$ показала хорошую устойчивость к атаке — пользователи замечали только 
небольшое увеличение времени ожидания при открытии сайта в браузере; все корневые 
серверы продолжали работать, и на все принятые ими запросы были даны ответы, но из- 
за перегрузки входных интерфейсов некоторых серверов не все запросы были приняты. 
После этой атаки были проведены дополнительные работы по повышению устойчивости 
службы ОМ$, которые включали повышение скорости интерфейсов и линий связи, соеди- 
няющих корневые серверы с Интернетом, и увеличение числа корневых серверов. Кроме 
того, корневые серверы были более равномерно распределены по автономным системам 
и географическим регионам. 


Атака 6-7 февраля 2007 года длилась 24 часа и была намного мощнее, чем атака 21 октября 
2002 года, — интенсивность трафика достигала 1 Гбит/с на один пул корневых серверов, 
но атаковано было только четыре из них. В атаке было использовано 4500-5000 компью- 
теров под управлением Мисгозой УЛп4о\, причем члены этой сети ботов были распреде- 
лены по сетям нескольких стран. При атаке имело место затопление корневых серверов 
ООрР-пакетами, направленными на порт 53 (порт ОМ), то есть атака относилась к типу 
ООР-затопления, а использование порта 53 помогало пакетам добраться до серверов, так 
как у файерволов, защищающих О№5-серверы, этот порт всегда открыт, иначе сервер не 
смог бы выполнять свою работу. Атака привела к почти полному исчерпанию пропускной 
способности двух из четырех атакованных пулов серверов, но два других пострадали не 
так существенно и смогли отвечать на большую часть запросов. 


Атака практически немедленно была обнаружена центрами, ответственными за админи- 
стрированис атакованных пулов корневых серверов (по предупреждающим сообщениям 
самих серверов и данным хостов, выполняющих постоянный мониторинг корневых сер- 
веров путем отправки на них контрольных запросов). Для снижения эффекта атаки был 
предпринят ряд мер, первой из которых явилась блокировка любых О№$-запросов, длина 
которых превышала 300 байт (обычно длина 0№-запроса — не больше 100 байт), а ватаку- 
ющих сообщениях для усиления эффекта затопления размеры полей данных ООР-потока 
доходили до 1023 байт. Однако такая блокировка помогла только частично — последующий 
анализ показал, что размер поля данных трафика атаки менялся случайным образом от 
0 до 1023 байт, при этом атакующие компьютеры не использовали спуфинг ІР-адресов, 
что дало возможность отследить размещение ботов: Южная Корея — 65 %, США — 19%, 
Канада — 3,5 %, Китай — 2,5 %, остальные страны — 10 %. Хост, координирующий атаку, 
находился в США, хосты сети ботов обращались к нему по протоколу НТТР. 


Причины атаки остались неясными; в отчете ІСАММ предполагается, что атака — прояв- 
ление тщеславия хакеров: ведь попытка остановить весь Интернет является вызовом для 
любого хакера. 


Мы остановились на этих двух примерах, так как они дают хорошее представление о мас- 
штабах современных О)оз-атак и о том, что защититься от них очень сложно даже таким 
опытным специалистам, которые обслуживают корневые 0№$-серверы. В то же время 
такое архитектурное решение, как виртуализация серверов, когда логический сервер 
представлен большим пулом физических серверов, рассредоточенных по разным сетям 
и автономным системам, способно гасить эффект даже очень интенсивной Юр 005-атаки. 
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В эффективности такого подхода мы еще раз убедимся в главе 30 при рассмотрении без- 
опасности облачных вычислений. 


Обо$-атаки отражением от ОМ$-серверов 


Основная идея атаки отражением от ОМ№$-серверов базируется на следующем. В Ин- 
тернете работают миллионы О№$-серверов, отвечающих за отправку ответов на запросы 
клиентов. При этом ответ может по объему намного превосходить запрос — например, если 
запрос относится к передаче файла зоны (запрос типа АХЕК) и зона включает большое 
количество записей. В марте 2013 года атаке такого рода! подвергся веб-сервер компании 
Ѕратһоцѕе — некоммерческой организации, борющейся со спамом (рис. 29.6). 


Злоумышленник 


5 


Запросы злоумышленника 


Азия 


Открытые 
ОМ5-серверы 


в обслуживании 


Атакуемый веб-сервер 


Рис. 29.6. Атака отражением от ОМ$- серверов 


Для организации этой атаки было использовано около 30 000 О35-серверов, работающих 
в открытом рекурсивном режиме, то есть отвечающих на запросы любых пользователей и при 
этом дающих полный (рекурсивный) ответ. Рекурсивный режим здесь является важным 
элементом атаки, так как нерекурсивные О№5$-серверы только перенаправляют запраши- 
вающего на другой О№5-сервер — их ответ является коротким и не может усилить атаку. 
Общей практикой является поддержание рекурсивного режима ответов только для «своих» 
клиентов — сотрудников предприятия для корпоративного О№$-сервера или же подписчиков 
сервиса для интернет-провайдера. Поскольку в Интернете имеется около 28 миллионов от- 
крытых рекурсивных О№5-серверов, найти объекты для атаки оказалось не так уж трудно. 


Злоумышленником был послан поток запросов на 30 000 открытых ОМ№5$-серверов, в ка- 
честве адреса отправителя которых указывался адрес атакуемого веб-сервера. Ответы от 
30 000 ОМ№МЅ-серверов обрушились на веб-сервер компании Зратвоц$е. 


| һеср://Ыое.сІоцдЙаге.сот/ће-айоѕ-їћағ-Кпоскеа-ѕратћаиѕ-ойіпе-апа-һо. 
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Для усиления атаки использовались не обычные запросы на разрешение имени, а запросы 
на передачу объемного файла со всеми записями зоны гіре.пеї (КІРЕ МСС — это региональ- 
ный информационный интернет-центр по Европе). Файл зоны пре.пе{ имеет размер около 
3000 байт, так что при размере запроса в 28 байт коэффициент усиления составил около 
100. Такое мощное усиление позволило, используя поток запросов к одному 0№-серверу 
интенсивностью всего в 2,5 Мбит/с, создать атаку с общей интенсивностью в 75 Гбит/с. 
Для отдельного О№$-сервера такой поток запросов не является чем-то необычным, так 
что владельцы этих серверов, скорее всего, эту атаку не заметили, а вот результирующий 
поток атаки в 75 Гбит/с вывел веб-сервер компании Ѕратћоиѕе из строя. 


Точнее, веб-сервер Ѕратһоиѕе был выведен из строя только до определенного момента, пока 
его владельцы не перевели его «под крыло» СоцаЕ]аге — провайдера облачных сервисов, 
к тому же специализирующегося на защите от О)о5-атак. Перевод помог, так как распре- 
деленная виртуальная структура Соц4аЕ]аге, использующая технику апуса$ и файерволы, 
смогла абсорбировать большую часть трафика атаки, поле чего веб-сервер Ѕратћоцѕе вновь 
стал доступен пользователям Интернета. 


Методы защиты службы ОМ№$ 


Существует ряд мер предосторожности, которые повышают защищенность 03№5-серверов 
от атак или использования их в качестве инструмента атаки: 


О Защита ОС хоста. Так как 0№Ѕ — это приложение ОС, то сама ОС должна быть на- 
дежно защищена всеми возможными способами. 


О Разделение пользователей на внутренних и внешних. Рекурсивные неполномочные от- 
веты должны предоставляться только внутренним пользователям как вызывающим 
большее доверие. 


О Передача файла зоны из первичного сервера только вторичным серверам этой зоны 
с использованием для передачи защищенных протоколов, например 5ЕТР или 5СР. 


О Использование ОМ55ЕС. ОМ$ЗЕС представляет собой набор стандартов, обеспечива- 
ющих аутентификацию ответов ОМ№5-серверов с помощью цифровой подписи и си- 
стемы публичных ключей. ОМЅЅЕС-клиент может проверить, что полученный ответ 
действительно пришел от полномочного сервера зоны, а не от сервера, который просто 
утверждает, что он полномочен, а на самом деле может таковым и не являться. 0МЅЅЕС 
затрудняет злоумышленникам спуфинг-атаки, так как для этого требуется подделывать 
цифровую подпись сервера. С 2010 года все корневые серверы, а также многие серверы 
верхнего уровня и крупных провайдеров поддерживают ОМЅЅЕС. 


Безопасность маршрутизации 
на основе ВСР 


Уязвимости протокола ВСР 


Маршрутизация между автономными системами на основе протокола ВСР является 
(наряду со службой ОМ$) одним из наиболее уязвимых элементов Интернета. Это объ- 
ясняется, во-первых, тяжелыми последствиями, к которым приводит ошибочная работа 
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ВСР-маршрутизаторов сети провайдеров: маршруты ко многим частям Интернета вдруг 
исчезают или оказываются ложными для значительной части пользователей. Во-вторых, 
протокол ВСР принципиально менее защищен, чем внутренние протоколы маршрутизации 
ОЗРЕи 18-15, так как «собеседники» ВСР-маршрутизатора находятся за пределами адми- 
нистративной ответственности его организации, и поэтому возможностей для проверки 
достоверности маршрутных объявлений протокола ВСР намного меньше, чем в случае 
внутренних протоколов. 


Мы сознательно не использовали в заголовке этого раздела слово «атаки». Информация 
о случаях неправильной работы протокола ВСР часто скрывается провайдерами Интерне- 
та, избегающими раскрытия деталей работы своей сети по разным причинам, в том числе 
и по причине безопасности. Поэтому большая часть крупных инцидентов, произошедших 
в Интернете по «вине» протокола ВСР, остается инцидентами, а не атаками, так как трудно 
сказать, произошел тот или иной инцидент из-за ошибки конфигурирования маршрутиза- 
тора персоналом провайдера или же это была спланированная и осуществленная атака. Во 
многих статьях и документах, описывающих уязвимости этого протокола маршрутизации, 
появилось новое действующее лицо — провайдер-злоумышленник (та|йс1ои$ [5Р), который 
вольно или невольно создает проблемы для остальных провайдеров. 


Инциденты с маршрутизацией в Интернете являются следствием того, что маршрутное 
объявление протокола ВСР формируется шаг за шагом многими провайдерами, при этом 
достоверность информации каждого шага проверить невозможно, так что у провайдера 
имеется полная свобода действий при обработке маршрутного объявления и передаче его 
соседним провайдерам. Вместо корректного объявления о префиксе своей сети с указанием 
номера своей автономной системы как исходной или добавления номера своей А5 к уже 
имеющейся последовательности А$-номеров при трансляции объявления о чужой сети, он 
может выполнить ряд некорректных манипуляций с маршрутным объявлением, например: 


Ы поместить адрес чужой сети с номером своей автономной системы в качестве исходной, 
чтобы ложно направить трафик к этой сети в свою автономную систему. При этом адрес 
чужой сети в некорректном объявлении ВСР должен быть более специфическим, чем 
уже существующие корректные записи об этой сети в маршрутизаторах других провай- 
деров, тогда новая ложная запись станет более приоритетной и будет использоваться 
вместо корректных. Такой тип инцидента называется захватом префикса; 


О выбросить из последовательности какую-то определенную автономную систему, чтобы 
обойти политику некоторой третьей автономной системы, которая по финансовым 
или иным соображениям блокирует все маршруты, проходящие через эту автономную 
систему; 


Ч добавить номер соседней автономной системы перед передачей ее объявления, чтобы 
соседняя автономная система, получив объявление и увидев в нем свой номер, отбро- 
сила его, решив, что объявление зациклилось; 


О добавить номер своей автономной системы несколько раз, чтобы объявление стало 
непривлекательным для других провайдеров (из-за размера последовательности А); 


О составить ложную последовательность автономных систем, но поместить в качестве 
исходного правильный (но не свой) номер А$З, чтобы вызвать доверие к маршруту. 


Как видим, незащищенность маршрутного объявления дает большой простор для злонаме- 
ренных искажений и просто ошибок при его обработке. Вероятность ошибки усугубляется 
тем, что в отличие от внутренних протоколов маршрутизации, которые обрабатывают 
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сообщения с минимальным вмешательством администратора, работа протокола ВСР обыч- 
но регулируется большим количеством правил фильтрации, которые задаются вручную 
администратором А. Эти фильтры определяют политику маршрутизации той или иной 
автономной системы, отражающую взаимоотношения данного провайдера с каждым из 
провайдеров, с которым у него есть пиринговые соглашения о передаче трафика. Вместе 
с тем при правильном применении фильтры политики ВСР являются мощным инстру- 
ментом защигы ВСР-маршрутизации от ошибок и атак. 


Инциденты с протоколом ВСР 


Первый широко известный масштабный инцидент с ВСР-маршрутизацией ярко выявил 
уязвимости ВСР, которые затем много раз проявляли себя в аналогичных ситуациях. Этот 
инцидент произошел 25 апреля 1997 года, когда немало провайдеров обнаружило, что в их 
маршрутизаторах исчезли маршруты, описывающие путь ко многим сетям Интернета. 
Причина этого неприятного обстоятельства довольно быстро была найдена: в объявлени- 
ях автономной системы А$7007 указывалось, что путь к исчезнувшим сетям Интернета 
должен пролегать через ее сети, хотя на самом деле эта небольшая автономная система не 
являлась транзитной для этих маршрутов. Звонок провайдеру А57007 помог устранить 
причину: оказалось, что виновником был единственный маршрутизатор, который после 
реконфигурирования начал генерировать некорректные маршрутные объявления. Не- 
корректность состояла в том, что в объявлениях указывались адреса не собственных сетей 
А57007, а адреса сетей, принадлежащих другим провайдерам Интернета. Кроме того, эти 
адреса оказались более специфическими, чем корректные адреса этих же сетей в маршру- 
тизаторах провайдеров Интернета, поэтому весь трафик к этим сетям стал направляться 
в А57007 и там теряться, так как всех этих сетей у названного провайдера не было. После 
отключения виновного маршрутизатора таблицы маршрутизации провайдеров быстро 
восстановились, однако шок от того, как просто оказалось вывести Интернет из строя, 
остался надолго. 


Инцидент с А57007 был первой масштабной демонстрацией уязвимости маршрутизации 
на основе протокола ВСР — протокола, который, как и другие протоколы стека ТСРУГР 
был разработан в расчете на добрую волю всех пользователей Интернета и не имел никакой 
защиты от ошибок или злого умысла. В дальнейшем подобные инциденты повторялись 
достаточно регулярно, причем один из них привлек большое внимание, потому что привел 
к временной недоступности популярного сервиса Үоиќиђе — в 2008 году оператор РаК1$ап 
Т@еесот пытался заблокировать доступ к ҮоиѓиђБе для пользователей Пакистана, а вместо 
этого распространил всем провайдерам Интернета объявления о том, что специфические 
маршруты к УоцеаЪе ведут через его сеть, что привело к направлению мирового трафика 
Үоџсиђе в сеть Ракіѕќап Т@есот в течение двух часов. 


В представленном на рис. 29.7 примере диапазон адресов 12.24.0.0/16 принадлежит 
А56. ВСР-маршрутизатор этой автономной системы объявляет о достижимости дан- 
ных адресов через свою сеть. Маршрутизаторы автономной системы А$5 принимают 
это объявление, помещают запись о достижимости адресов 12.24.0.0/16 в свои таблицы 
маршрутизации и передают его далее маршрутизаторам автономных систем А54 и А57. 
Теперь посмотрим, что произойдет, если маршрутизаторы автономной системы А51 


начнут по ошибке или умышленно распространять маршрутные объявления к адресам 
диапазона 12.24.128.0/17. 
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Таблица маршрутизации А57 ЫАР а 
12.24.128.0/17: А53, А52, А51 | Некорректная запись Сеть 12.24.0.0/16 


|12.24.0.0/16: А55, А56 Корректная запись 


енеазисеннасат 


Рис. 29.7. Эффект захвата префикса адресов 


Автономная 
система-нарушитель 


Этот диапазон является поддиапазоном диапазона 12.24.0.0/16, но его префикс длиннее, 
то есть этот адрес является более специфическим адресом, чем адрес 12.24.0.0/16, поэтому 
маршрутизатор должен отдавать ему предпочтение перед более коротким адресом. В ре- 
зультате маршрутизаторы А57 помещают запись о том, что трафик к хостам с адресами 
из диапазона 12.24.128.0/17 должен направляться в А51, а не А56. Эта информация рас- 
пространится далее по всем автономным системам Интернета, в том числе по А56, что 
приведет к потере связи с хостами 12.24.128.0/17, так как они находятся в А56, анев А$Ї1. 
Если система А51 будет распространять только объявление 12.24.128.0/17, то остальные 
хосты из диапазона 12.24.0.0/16 окажутся достижимыми в А$6, если же АЅЇІ будет рас- 
пространять подобные объявления для всех поддиапазонов этого диапазона с маской 17, 
такие как 12.24.0.0/17, 12.24.192.0/17, 12.24.224.0/17 ит. д., то все хосты сети 12.24.0.0/16 
станут недостижимыми. 


($) Защита ВСР 


Технологии защищенного канала 


Известно, что задачу защиты данных можно разделить на две подзадачи: защиту дан- 
ных внутри компьютера и защиту данных в процессе их передачи от одного компьютера 
к другому. Для обеспечения безопасности данных при их передаче по публичным сетям 
используются различные технологии защищенного канала. 


Технология защищенного канала обеспечивает защиту трафика между двумя точками 
в открытой транспортной сети, например в Интернете. Защищенный канал подразумевает 
выполнение трех основных функций: 


О взаимная аутентификация абонентов при установлении соединения, которая может 
быть выполнена, например, путем обмена паролями; 
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О защита передаваемых по каналу сообщений от несанкционированного доступа, напри- 
мер, путем шифрования; 


О подтверждение целостности поступающих по каналу сообщений, например, путем 
передачи одновременно с сообщением его дайджеста. 


Способы образования защищенного канала 


В зависимости от месторасположения программного обеспечения защищенного канала 
различают две схемы его образования: 
О схема с конечными узлами, взаимодействующими через публичную сеть (рис. 29.8, а); 


О схема с оборудованием поставщика услуг публичной сети, расположенным на границе 
между частной и публичной сетями (рис. 29.8, 6). 


Защищенный канал 


Канал доступа , Канал доступа 


Сеть филиала 1 Публичная сеть Сеть филиала 2 


а ве 
Защищенный канал 
Пограничное Пограничное 
„хо _ устройство устройство 
и доступа | „=! доступа 


гечен. 


Сеть филиала 1 


б ЧИИ: ашн | ее" 


Рис. 29.8. Два подхода к образованию защищенного канала 


Публичная сеть Сеть филиала 2 


В первом случае защищенный канал образуется программными средствами, установлен- 
ными на двух удаленных компьютерах, принадлежащих двум разным локальным сетям 
одного предприятия и связанных между собой через публичную сеть. Преимуществом 
этого подхода является полная защищенность канала вдоль всего пути следования, 
а также возможность использования любых протоколов создания защищенных каналов, 
лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки 
заключаются в избыточности и децентрализованности решения. Избыточность состоит 
в том, что вряд ли стоит создавать защищенный канал на всем пути следования данных: 
уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не 
каналы телефонной сети или выделенные каналы, через которые локальные сети подклю- 
чены к территориальной сети. Поэтому защиту каналов доступа к публичной сети можно 
считать избыточной. Децентрализация заключается в том, что для каждого компьютера, 
которому требуется предоставить услуги защищенного канала, необходимо отдельно уста- 
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навливать, конфигурировать и администрировать программные средства защиты данных. 
Подключение каждого нового компьютера к защищенному каналу требует выполнять эти 
трудоемкие операции заново. 


Во втором случае клиенты и серверы не участвуют в создании защищенного канала — 
он прокладывается только внутри публичной сети с коммутацией пакетов, например, 
внутри Интернета. Так, канал может быть проложен между сервером удаленного доступа 
поставщика услуг публичной сети и пограничным маршрутизатором корпоративной 
сети. Это — хорошо масштабируемое решение, управляемое централизованно админи- 
страторами как корпоративной сети, так и сети поставщика услуг. Для компьютеров 
корпоративной сети канал прозрачен -- программное обеспечение этих конечных узлов 
остается без изменений. Такой гибкий подход позволяет легко образовывать новые кана- 
лы защищенного взаимодействия между компьютерами независимо от места их располо- 
жения. Реализация этого подхода сложнее, поскольку требуется и стандартный протокол 
образования защищенного канала, и установка у всех поставщиков услуг программного 
обеспечения, поддерживающего такой протокол, и поддержка протокола производите- 
лями пограничного коммуникационного оборудования. Кроме того, вариант, когда все 
заботы по поддержанию защищенного канала берет на себя поставщик услуг публичной 
сети, оставляет сомнения в надежности защиты: каналы доступа к публичной сети ока- 
зываются незащищенными, а потребитель услуг чувствует себя в полной зависимости 
от надежности их поставщика. 


Иерархия технологий защищенного канала 


Защищенный канал можно построить с помощью системных средств, реализованных на 
разных уровнях модели ОЗ] (рис. 29.9). 


Уровни Протоколы 
защищаемых |защищенного 
протоколов канала 


Прикладной 

эмме 

Уровень 

Сеансовый для приложений, независимость 
от транспортной инфраструктуры 

уровни а | пн инфрвструстурь 

Транспортный 

уровень 


Свойства протоколов 
защищенного канала 


Физический 
уровень 
Рис. 29.9. Протоколы, формирующие защищенный канал на разных уровнях модели О$] 


Если защита данных осуществляется средствами верхних уровней (прикладного, представ- 
ления или сеансового), то такой способ защиты не зависит от технологий транспортировки 
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данных (ІР или ІРХ, ЕМегпе или МРГ.$), что можно считать несомненным достоинством. 
В то же время приложения при этом становятся зависимыми от конкретного протокола 
защищенного канала, так как в них должны быть встроены явные вызовы функций этого 
протокола. 


Защищенный канал. реализованный на самом высоком (прикладном) уровне, защищает 
только вполне определенную сетевую службу, например файловую, гипертекстовую или 
почтовую. Так, протокол $/МІМЕ защищает исключительно сообщения электронной 
почты. При таком подходе для каждой службы необходимо разрабатывать собственную 
защищенную версию протокола. 


Работа протокола защищенного канала на уровне представления делает его более уни- 
версальным средством, чем протокол безопасности прикладного уровня. Однако для того 
чтобы приложение смогло воспользоваться протоколом уровня представления, в него по- 
прежнему приходится вносить исправления, хотя и не столь существенные, как в случае 
протокола прикладного уровня. Модификация приложения в данном случае сводится 
к встраиванию явных обращений к АРІ соответствующего протокола безопасности. 


На уровне представления работает протокол безопасности транспортного уровня ТІ 
(Тгапѕрогї Гауег Ѕесигісу), заменивший протокол защищенных сокетов $8]. (Зесиге ЅосКеї 
Гауег), который в настоящее время признан уязвимым и не рекомендуется для использо- 
вания. Протокол 551. был разработан компанией М№её5саре Соттипісайпопѕ для защиты 
данных, передавасмых между веб-сервером и веб-браузером, но он мог быть использован 
и любыми другими приложениями. Для установления защищенного канала оба протокола 
используют следующие технологии безопасности: 


О взаимная аутентификация приложений на обоих концах защищенного канала выпол- 
няется путем обмена сертификатами (стандарт Х.509); 


О для контроля целостности передаваемых данных используются дайджесты; 


Ч секретность обеспечивается шифрованием с использованием симметричных ключей 
сеанса. 

Средства защищенного канала становятся прозрачными для приложений в тех случаях, 
когда безопасность обеспечивается на сетевом и канальном уровнях. Однако здесь мы 
сталкиваемся с другой проблемой — зависимостью сервиса защищенного канала от про- 
токола нижнего уровня. Например, протокол РРТР, не являясь протоколом канального 
уровня, защищает кадры протокола РРР канального уровня, упаковывая их в 1Р-пакеты. 
При этом не имест никакого значения, пакет какого протокола, в свою очередь, упакован 
в данном РРР-кадре: ГР, ТРХ, 5МА или Ме ВТО5. С одной стороны, это делает сервис РРТР 
достаточно универсальным, так как клиент сервиса защищенного канала может задейство- 
вагь любые протоколы в своей сети. С другой стороны, такая схема предъявляет жесткие 
требования к типу протокола канального уровня, используемому на участке доступа кли- 
ента к защищенному каналу -- для протокола РРТР таким протоколом может быть только 
РРР. Хотя протокол РРР очень распространен в линиях доступа, сегодня конкуренцию 
ему составляют протоколы Сівађ1є Ефегпее и Еаѕс Есһегпеѓ, которые все чаще работают 
не только в локальных, но и в глобальных сетях. 


Работающий на сетевом уровне протокол ІРЅес является компромиссным вариантом. 
С одной стороны, он прозрачен для приложений, с другой — может работать практически 
во всех сетях, так как основан на широко распространенном протоколе [Р и использует 
любую технологию канального уровня (РРР, Ећегпеѓ, МРГ$ ит. д.). 
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Система ІРЅбес 


Протокол 1Р$ес в стандартах Интернета называют системой. Действительно, 1РЗес — это со- 
гласованный набор открытых стандартов, имеющий сегодня вполне очерченное ядро, которое 
вто же время может быть достаточно просто дополнено новыми функциями и протоколами. 


Ядро ІРЅес составляют три протокола: 


О АН (Ашћепосасоп Неа4ег — заголовок аутентификации), который гарантирует целост- 
ность и аутентичность данных; 


О ЕЅР (Епсарзшайпя Зесигку Рауюа4 — инкапсуляция зашифрованных данных), кото- 
рый шифрует передаваемые данные, обеспечивая конфиденциальность, может также 
поддерживать аутентификацию и целостность данных; 


О [КЕ (Икегпе Кеу Ехсһапве — обмен ключами Интернета), который решает вспомо- 
гательную задачу автоматического предоставления конечным точкам защищенного 
канала секретных ключей, необходимых для работы протоколов аутентификации 
и шифрования данных. 


Как видно из краткого описания функций, возможности протоколов АН и ЕЗР частично 
перекрываются (рис. 29.10). В то время как АН отвечает только за обеспечение целостности 
и аутентификации данных, ЕЗР может шифровать данные и, кроме того, выполнять функ- 
ции протокола АН (хотя, как увидим позднее, аутентификация и целостность обеспечи- 
ваются им в нссколько урезанном виде). ЕЗР может поддерживать функции шифрования 
и аутентификации/целостности в любых комбинациях, то есть либо всю совокупность 
функций, либо только аутентификацию/целостность, либо только шифрование. 


Выполняемые функции Протокол 
Обеспечение целостности 
Обеспечение аутентичности 
Обеспечение конфиденциальности 
(шифрование) 
Распределение секретных 
ключей 


Рис. 29.10. Распределение функций между протоколами ІРЅес 
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Частичное дублирование функций защиты протоколами АН и ЕЅР связано с применяемой 
во многих странах практикой ограничения экспорта и/или импорта средств, обеспечиваю- 
щих конфиденциальность данных путем шифрования. Каждый из этих протоколов может 
использоваться как самостоятельно, так и одновременно с другим, так что в тех случаях, 
когда шифрование из-за действующих ограничений применять нельзя, систему можно 
поставлять только с протоколом АН. Естественно, подобная защита данных во многих 
случаях оказывается недостаточной. Принимающая сторона получает лишь возможность 
проверить, что данные были отправлены именно тем узлом, от которого они ожидаются, 
и дошли в том виде, в котором были отправлены. Однако от несанкционированного про- 
смотра данных на пути их следования по сети протокол АН защитить не может, так как не 
шифрует их — для шифрования данных необходим протокол ЕЗР. 
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Безопасная ассоциация 


Чтобы протоколы АН и ЕЗР могли выполнять свою работу по защите передаваемых дан- 
ных, протокол [КЕ устанавливает между двумя конечными точками логическое соединение, 
которое в стандартах ІРЅес носит название безопасной ассоциации (Зесигку Аѕѕосіайоп, 
ЗА). 

Стандарты 1РЅес позволяют конечным точкам защищенного канала использовать един- 
ственную безопасную ассоциацию для передачи трафика всех взаимодействующих через 
этот канал хостов или создавать для этой цели произвольное число безопасных ассоциаций, 
например, по одной на каждое ТСР-соединение. Это дает возможность выбирать нужную 
степень детализации защиты — от одной общей ассоциации для трафика множества конеч- 
ных узлов до индивидуально настроенных ассоциаций для защиты каждого приложения. 


Безопасная ассоциация в протоколе ІРЅес представляет собой однонаправленное (сим- 
плексное) логическое соединение, поэтому если требуется обеспечить безопасный дву- 
сторонний обмен данными, то необходимо установить две безопасные ассоциации. Эти 
ассоциации в общем случае могут иметь разные характеристики, например, при передаче 
запросов к базе данных достаточно только аутентификации, а для ответных данных, не- 
сущих ценную информацию, дополнительно может потребоваться обеспечить и их кон- 
фиденциальность. 


Установление безопасной ассоциации начинается с взаимной аутентификации сторон, по- 
тому что все меры безопасности теряют смысл, если данные передаются или принимаются 
не тем лицом или не от того лица. Выбираемые далее параметры ЅА определяют, какой 
из двух протоколов, АН или ЕЅР будет применяться для защиты данных, какие функции 
будет выполнять протокол (например, можно выполнять только аутентификацию и про- 
верку целостности, а можно, кроме того, еще и обеспечивать конфиденциальность). Очень 
важными параметрами безопасной ассоциации являются также секретные ключи, исполь- 
зуемые в работе протоколов АН и ЕЗР. 


Протокол ІРЅес допускает как автоматическое, так и ручное установление безопасной 
ассоциации. При ручном способе администратор конфигурирует конечные узлы так, что- 
бы они поддерживали согласованные параметры ассоциации, включая секретные ключи. 
При автоматической процедуре установления ЗА протоколы ІКЕ, работающие по разные 
стороны канала, выбирают параметры в ходе переговорного процесса. 


Для каждой задачи, решаемой протоколами АН и ЕЅҲР предлагается несколько схем аутен- 
тификации и шифрования (рис. 29.11). Это делает протокол ІРЅес очень гибким средством. 
Заметим, что выбор дайджест-функции для решения задач целостности и аутентификации 
никак не влияет на выбор функции шифрования, обеспечивающей конфиденциальность 
данных. 


Для обеспечения совместимости в стандартной версии ІРЅес определен некоторый обя- 
зательный «инструментальный» набор, в частности, для аутентификации данных всегда 
может быть использована одна из стандартных дайджест-функций МО5 либо ЗНА-1, 
а в число алгоритмов шифрования непременно входит РЕФ. При этом производители 
продуктов, в которых используется [Р$ес, вольны расширять протокол путем включения 
других алгоритмов аутентификации и симметричного шифрования, что они с успехом и де- 
лают. Например, многие реализации ІРЅес поддерживают популярный алгоритм шифрова- 
ния Тире РЕЗ, а также сравнительно новые алгоритмы: В]о\ ЯВ, Са, СОМЕ Іаеа, КС5. 
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Безопасная ассоциация 
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Рис. 29.11. Согласование параметров в протоколе ЕЅР 


Транспортный и туннельный режимы 


Протоколы АН и ЕЅР могут защищать данные в двух режимах: транспортном и туннельном. 
В транспортном режиме передача ІР-пакета через сеть выполняется с помощью оригинального 
заголовка этого пакета, а в туннельном режиме исходный пакет помещается в новый ІР-пакет, 
и передача данных по сети выполняется на основании заголовка нового 1Р-пакета. 


Применение того или иного режима зависит от требований, предъявляемых к защите 
данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. 
Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). 
Соответственно, возможны три схемы применения протокола [РЪ$ес: 


О хост-хост; 
О шлюз-шлюз; 
О хост-шлюз. 


В схеме «хост-хост» безопасная ассоциация устанавливается между двумя конечными 
узлами сети. При этом протокол ІРЅес работает на каждом из этих узлов. Для схемы «хост- 
хост» чаще всего используется транспортный режим защиты. 


В схеме «шлюз-шлюз» защищенный канал устанавливается между двумя промежуточны- 
ми узлами, так называемыми шлюзами безопасности (ЗесигКу Саѓемау, $С), на каждом 
из которых работает протокол ІРЅес (рис. 29.12). Защищенный обмен данными может 
происходить между любыми двумя конечными узлами, подключенными к сетям, которые 
расположены позади шлюзов безопасности. От конечных узлов поддержки протокола 
ІРЅес не требуется — они передают свой трафик в незащищенном виде через заслужива- 
ющие доверие внутренние сети предприятий. Трафик, направляемый в общедоступную 
сеть, проходит через шлюз безопасности, который и обеспечивает его защиту с помощью 
протокола ІРЅес. Шлюзам доступен только туннельный режим работы. 


На рисунке пользователь компьютера с адресом 1Р1 посылает пакет по адресу 1Р2, ис- 
пользуя туннельный режим протокола ІРЅес. Шлюз $С1 зашифровывает пакет вместе 


926 Часть У. Безопасность компьютерных сетей 


Внутренняя сеть Внутренняя сеть 


Интернет 


ЗА 
че, бр с 


Зашифрованный Заголовок Новый 
исходный пакет ІРЅес заголовок ІР 


Рис. 29.12. Работа защищенного канала по схеме «шлюз-шлюз» в туннельном режиме 


с заголовком, снабжая его новым ІР-заголовком, в котором в качестве адреса отправите- 
ля указывает свой адрес — ІРЗ, а в качестве адреса получателя — адрес 1Р4 шлюза $С2. 
Передача данных по составной ІР-сети выполняется на основании заголовка внешнего 
пакета, а внутренний пакет становится при этом полем данных для внешнего пакета. На 
шлюзе 562 протокол ІРЅес извлекает инкапсулированный пакет и расшифровывает его, 
приводя к исходному виду. 


Схема «хост-шлюз» часто применяется при удаленном доступе. В этом случае защищен- 
ный канал прокладывается между удаленным хостом, на котором работает протокол 
ІРЅес, и шлюзом, защищающим трафик для всех хостов, входящих во внутреннюю сеть 
предприятия. Эту схему можно усложнить, создав параллельно еще один защищенный 
канал — между удаленным хостом и каким-либо хостом, принадлежащим внутренней 
сети, защищаемой шлюзом (рис. 29.13). Комбинированное использование двух безопасных 
ассоциаций позволяет надежно защитить трафик во внутренней сети. 


Внутренняя сеть 


Рис. 29.13. Схема защищенного канала «хост-шлюз» 
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Протокол АН 


Протокол АН позволяет приемной стороне убедиться, что: 

О пакет был отправлен стороной, с которой установлена безопасная ассоциация; 
О содержимое пакета не было искажено в процессе его передачи по сети; 

Ц пакет не является дубликатом уже полученного пакета. 


Две первые функции обязательны для протокола АН, а последняя выбирается по желанию 
при установлении ассоциации. Для выполнения этих функций протокол АН использует 
специальный заголовок (рис. 29.14). 


Следующий | Полезная 
заголовок нагрузка 


Индекс параметров безопасности ($РІ) 


Порядковый номер (ЗМ) 


Данные аутентификации 


Рис. 29.14. Структура заголовка протокола АН 


В поле следующего заголовка (пехїі Веа4ег) указывается код протокола более высокого 
уровня, то есть протокола, сообщение которого размещено в поле данных ІР-пакета. Скорее 
всего, им будет один из протоколов транспортного уровня (ТСР или ОПОР) или протокол 
[СМР но может встретиться и протокол ЕЗР, если он используется в комбинации с АН. 


В поле длины полезной нагрузки (рау|оа4 еп) содержится длина заголовка АН. 


Индекс параметров безопасности (Зесигку Рагатеѓегѕ Іпаех, РІ) служит для связи пакета 
с предусмотренной для него безопасной ассоциацией (подробнее см. ниже). 


Поле порядкового номера (Зедаепсе МитЪег, 5№) пакета применяется для защиты от его 
ложного воспроизведения (когда третья сторона пытается повторно использовать перехва- 
ченные защищенные пакеты, отправленные реально аутентифицированным отправителем). 
Отправляющая сторона последовательно увеличивает значение этого поля в каждом новом 
пакете, передаваемом в рамках данной ассоциации, так что приход дубликата обнаружится 
принимающей стороной (если, конечно, в рамках ассоциации будет активирована функция 
защиты от ложного воспроизведения). Однако в любом случае в функции протокола АН 
не входит восстановление утерянных и упорядочивание прибывающих пакетов — он про- 
сто отбрасывает пакет, когда обнаруживает, что аналогичный пакет уже получен. Чтобы 
сократить требуемую для работы протокола буферную память, используется механизм 
скользящего окна — на предмет дублирования проверяются только те пакеты, чей номер 
находится в пределах окна, обычно 32 или 64 пакета. 


Поле данных аутентификации (аи феписайоп Чдаба) содержит хеш-код (дайджест) ис- 
ходного ІР-пакета, вычисленный с помощью одной из двух обязательно поддерживаемых 
протоколом АН односторонних функций шифрования МЬ5 или ЗАН-1, но может исполь- 
зоваться и любая другая функция, о которой стороны договорились в ходе установления 
ассоциации. При вычислении дайджеста пакета в качестве параметра односторонней функ- 
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ции выступает симметричный секретный ключ, сгенерированный для данной ассоциации 
вручную или автоматически с помощью протокола КЕ. Так как длина дайджеста зависит 
от выбранной функции, это поле имеет в общем случае переменный размер. Протокол АН 
старается охватить при вычислении дайджеста как можно большее число полей исходного 
ІР-пакета, но некоторые из них в процессе передачи пакета по сети меняются непредсказу- 
емым образом, поэтому не могут включаться в аутентифицируемую часть пакета. Напри- 
мер, целостность значения поля времени жизни (ТТІ) в приемной точке канала оценить 
нельзя, так как оно уменьшается на единицу каждым промежуточным маршрутизатором 
и никак не может совпадать с исходным. 


Местоположение заголовка АН в пакете зависит от того, в каком режиме — транспортном 
или туннельном — сконфигурирован защищенный канал. Вид результирующего пакета 
в транспортном режиме представлен на рис. 29.15. 


Заголовок 
исходного 
|Р-пакета 


Заголовок Пакет протокола 
аутентификации | верхнего уровня 


Аутентифицируемая информация 


Рис. 29.15. Структура ІР-пакета, обработанного протоколом АН в транспортном режиме 


При использовании туннельного режима, когда шлюз [Р$ес принимает проходящий через 
него транзитом исходящий пакет и создает для него внешний [Р-пакет, протокол АН за- 
щищает все поля исходного пакета, а также неизменяемые поля нового заголовка внешнего 
пакета (рис. 29.16). 


Заголовок 
ИСХОДНОГО 
|Р-пакета 


Заголовок 
внешнего 
ІР-пакета 
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аутентификации 


Пакет протокола 
верхнего уровня 


Аутентифицируемая информация 


Рис. 29.16. Структура ІР-пакета, обработанного протоколом АН в туннельном режиме 


Протокол ЕЅР 


Протокол ЕЅР решает две группы задач. К первой относятся задачи обеспечения аутенти- 
фикации и целостности данных на основе дайджеста, аналогичные задачам протокола АН, 
ко второй — защита передаваемых данных путем их шифрования от несанкционированного 
просмотра. Как видно на рис. 29.17, заголовок делится на две части, разделяемые полем 
данных. Первая часть, называемая собственно заголовком Е$Р, образуется полями $РІ и ЗМ, 
назначение которых аналогично одноименным полям протокола АН, и размещается перед 
полем данных. Остальные служебные поля протокола ЕЗР, называемые кониевиком ЕР, 
расположены в конце пакета. 


Два поля концевика — следующего заголовка и данных аутентификации — также анало- 
гичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установ- 
лении безопасной ассоциации принято решение не использовать средств протокола ЕЗР 
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касающихся обеспечения целостности. Помимо этих полей концевик содержит два допол- 
нительных поля — заполнителя и длины заполнителя. Заполнитель может понадобиться 
в трех случаях. Во-первых, для нормальной работы некоторых алгоритмов шифрования не- 
обходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера. 
Во-вторых, формат заголовка ЕЅР требует, чтобы поле данных заканчивалось на границе 
четырех байтов. И наконец, заполнитель можно использовать, чтобы скрыть действитель- 
ный размер пакета в целях обеспечения так называемой частичной конфиденциальности 
трафика. Правда, возможность маскировки ограничивается сравнительно небольшим 
объемом заполнителя — 255 байт, поскольку большой объем избыточных данных может 
снизить полезную пропускную способность канала связи. 


Зашифрованная часть |Р-пакета 


Концевик ЕЗР 


исходного о Заполнитель, длина 
уе заполнителя, след. 
УР заголовок 


Аутентифицируемая часть ІР-пакета 


Рис. 29.17. Структура ІР-пакета, обработанного протоколом ЕЅР в транспортном режиме 


Данные 
аутентификации 


ІР-пакета 


На рис. 29.17 показано размещение полей заголовка ЕЅР в транспортном режиме. В этом 
режиме ЕЗР не шифрует заголовок исходного [Р-пакета, иначе маршрутизатор не сможет 
прочитать поля заголовка и корректно выполнить продвижение пакета между сетями. 
В число шифруемых полей не попадают также поля ЅРІ и 5№, которые должны пере- 
даваться в открытом виде, чтобы прибывший пакет можно было отнести к определенной 
ассоциации и предотвратить ложное воспроизведение пакета. 


В туннельном режиме заголовок исходного [Р-пакета помещается после заголовка ЕЗР 
и полностью попадает в число защищаемых полей, а заголовок внешнего [Р-пакета про- 
токолом ЕЗР не защищается (рис. 29.18). 
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Рис. 29.18. Структура ІР-пакета, обработанного протоколом ЕЅР в туннельном режиме 
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|Р-пакета ІР-пакета 


Базы данных ЗАО И ЗРО 


При установлении безопасной ассоциации, как и при любом другом логическом соеди- 
нении, две стороны принимают ряд соглашений, регламентирующих процесс передачи 
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потока данных между ними и фиксируемых в виде набора параметров. Для безопасной 
ассоциации такими параметрами являются, в частности, тип и режим работы протокола 
защиты (АН или ЕЗР), методы шифрования, секретные ключи, значение текущего номера 
пакета в ассоциации и другая существенная информация. Каким же образом протокол 
ІРЅес, работающий на хосте или шлюзе, определяет способ защиты, который он должен 
применить к трафику? Решение основано на использовании в каждом узле, поддержива- 
ющем ІРЅес, двух типов баз данных: 


О баз данных безопасных ассоциаций (Зесигку Аѕѕосіаііопѕ ОабаБазе, ЗАО), в которых 
хранятся наборы текущих параметров, определяющих все активные 5А. Каждый 
узел ІРЅес поддерживает две базы $АрР” (для исходящих и входящих ассоциаций со- 
ответственно); 
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Рис. 29.19. Использование баз данных ЭРО и ЗАО 
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Ц баз данных политики безопасности (Зесигку Ройсу ОакаБазе, ЗРО), которые определя- 
ют соответствие между [Р-пакетами и установленными для них правилами обработки. 
Записи 5РР состоят из полей двух типов — полей селектора пакета и полей политики 
защиты для пакета с данным значением селектора. 


Селектор в ЗРО (рис. 29.19) включает следующий набор признаков, на основании которых 
можно с большой степенью детализации выделить защищаемый поток: 


Ч ІР-адреса источника и приемника, которые могут быть представлены как в виде от- 
дельных адресов (индивидуальных, групповых или широковещательных), так и диа- 
пазонами адресов, заданными с помощью верхней и нижней границ либо с помощью 
маски; 


порты источника и приемника (то есть ТСР- или ООШР-порты); 
тип протокола транспортного уровня (ТСР, ОРЮР); 


имя пользователя в формате 0№ или Х.500; 


0000 


имя системы (хоста, шлюза безопасности и т. п.) в формате ОМ№$ или Х.500. 


Для каждого нового пакета, поступающего в защищенный канал, [РЅес просматривает 
все записи в базе ЗРО, сравнивая значение селекторов этих записей с соответствующими 
полями ІР-пакета. Если значение полей совпадает с каким-либо селектором, то над паке- 
том выполняются действия, определенные в поле политики безопасности данной записи: 
передачу пакета без изменения, его отбрасывание либо обработку средствами ІРЅес. В по- 
следнем случае поле политики защиты должно содержать ссылку на запись в базе данных 
ЗАО, в которую помещен набор параметров безопасной ассоциации для данного пакета 
(на рисунке для исходящего пакета определена ассоциация 5АЗ). На основании заданных 
параметров безопасной ассоциации к пакету применяются соответствующие протокол (на 
рисунке — ЕР), функции шифрования и секретные ключи. 


Если к исходящему пакету нужно применить некоторую политику защиты, но указатель 
записи ЭРО показывает, что в настоящее время нет активной безопасной ассоциации 
с требуемой политикой, то ІРЅес создает новую ассоциацию с помощью протокола ІКЕ, 
помещая новые записи в базы данных ЗАП и $РО. 


Базы данных политики безопасности создаются и администрируются либо пользователем 
(этот вариант больше подходит для хоста), либо системным администратором (вариант 
для шлюза), либо автоматически (приложением). 


Ранее мы выяснили, что установление связи между исходящим 1Р-пакетом и заданной 
для него безопасной ассоциацией происходит путем селекции. Однако остается откры- 
тым другой вопрос: как принимающий узел ІРЅес определяет способ обработки прибыв- 
шего пакета, если при шифровании многие ключевые параметры пакета, отраженные 
в селекторе, оказываются недоступными, а значит, невозможно определить соответству- 
ющую запись в базах данных ЗАО и $Рр и, следовательно, тип процедуры, которую надо 
применить к поступившему пакету? Для решения этой проблемы в заголовках АН и ЕЅР 
и предусмотрено поле 5РГ. В это поле помещается указатель на ту строку базы данных 
ЗАО, в которой записаны параметры соответствующей безопасной ассоциации. Поле 
ЅРІ заполняется протоколом АН или ЕЅР во время обработки пакета в отправной точке 
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защищенного канала. Когда пакет приходит в конечный узел защищенного канала, из его 
внешнего заголовка ЕЗР или АН (на рисунке — из заголовка ЕЗР)) извлекается значение 
ЅРІ, после чего обработка пакета выполняется с учетом всех параметров заданной этим 
указателем ассоциации. 


Таким образом, для распознавания пакетов, относящихся к разным безопасным ассоциациям, 
используются: 

О на узле-отправителе — селектор; 

О на узле-получателе — индекс параметров безопасности (ЅР!). 


После дешифрования пакета приемный узел ІРЅес проверяет его признаки (ставшие теперь 
доступными) на предмет совпадения с селектором записи РО для входящего трафика, 
чтобы убедиться, что ошибки не произошло и выполняемая обработка пакета соответствует 
политике защиты, заданной администратором. 


Использование баз $Р” и ЗАО для защиты трафика позволяет гибко сочетать механизм 
безопасных ассоциаций, который предусматривает установление логического соединения, 
с дейтаграммным характером трафика протокола ІР. 


($) УРМ на основе [Р5ес 


ГЛАВА 30 Безопасность 
программного кода 
и сетевых служб 


Уязвимости программного кода 
и вредоносные программы 


Программная система, состоящая из десятков тысяч строк кода, всегда имеет уязвимости, 
которые может использовать злоумышленник. Эти уязвимости могут быть результатом 
ошибок программистов — в соответствии с исследованием СуГаБ Университета Карнеги 
Мэллона в среднем каждые 1000 строк кода содержат 20-30 ошибок, из которых 5 % вли- 
яют на безопасность системы, а 1 % открывает возможности для взлома системы. 


Уязвимости, связанные с нарушением защиты 
оперативной памяти 


Области оперативной памяти (адресные пространства) отдельных процессов защищены 
друг от друга. Защита памяти реализуется ОС в тесном взаимодействии с аппаратными 
механизмами процессора. Несмотря на это, некорректное использование областей памяти 
все же может происходить в пределах адресного пространства отдельного процесса или 
в области памяти ядра ОС. В последнем случае это особенно опасно, так как может вызвать 
крах всей системы, а не отдельного приложения, как в первом случае. 


Переполнение буфера памяти является, по-видимому, наиболее часто используемой 
уязвимостью, связанной с нарушением защиты памяти. Мы уже знаем одну такую ата- 
ку, которая использует буфер, расположенный в памяти ядра, и приводит к краху всей 
системы — это атака «Пинг смерти». Точнее, приводила, так как ошибка в операционных 
системах, приводящая их к краху при превышении [Р-пакетом размера в 65 535 байт, уже 
устранена. Тем не менее механизм, который эксплуатируется этой атакой, очень типи- 
чен — он использует отсутствие контроля над вводимой из внешнего мира информацией 
(в данном случае не контролируется длина помещаемого в буфер пакета). 


Переполнение стека является частным случаем переполнения буфера памяти. Этот вид 
уязвимости часто используется злоумышленниками, чтобы заставить ОС выполнить код 
злоумышленника. Напомним, стеком является область памяти с реализацией стратегии 
записи ЦЕО (Газ Іп Е1гѕ6 Оц — последним пришел, первым вышел). Этот способ записи 
удобен при многократном вызове функций (подпрограмм), так как он обеспечивает эко- 
номичный возврат из вызванной функции в вызывающую. 
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Типичная структура стека, который растет в сторону меньших адресов (архитектура 
Ге] х86), показана на рис. 30.1, а. Здесь мы видим стек, содержащий данные одной функ- 
ции [ (А, Аз). В стек помещены аргументы этой функции, за которыми идет адрес возврата 
в функцию, ее вызвавшую — в данном случае это функция таіп, то есть основное тело 
программы, написанной на языке С. За адресом возврата идет локальная память функции 
Ју, используемая для хранения ее локальных переменных и массивов. Указатель стека со- 
держит адрес первого слова свободной области стека. 


Указатель 1 
стека 


Указатель 
стека 


а 6 


Рис. 30.1. а — структура стека до вызова функции Ь из функции 4; 
б — структура стека после вызова функции Ь из функции #, 


Если функция /; вызывает другую функцию, /›, то ее аргументы, адрес возврата в функ- 
цию {у и ее локальная память будут размещаться над областью памяти, выделенной в стеке 
функции /! (рис. 30.1, 6). При завершении функция № должна выполнить специальную 
инструкцию ВЕТИВМ, которая вернет управление по адресу возврата в функцию /| и очистит 
стек от данных функции р», вернув указатель стека на прежнее место. Переполнение стека 
может произойти, если в область локальной памяти функции помещаются данные, длина 
которых больше длины этой области. В таком случае эти данные могут наложиться на 
адрес возврата. В результате после завершения вызванной функции произойдет переход 
на некоторый адрес, который может быть как случайным, так и специально сформирован 
злоумышленником. Многие атаки основаны на том, что в область локальных данных стека 
помещается вредоносный код, которому затем передается управление за счет подмены со- 
держимого поля адреса возврата адресом начала вредоносного кода. 


Некоторые операционные системы помечают область стека как неисполняемую, что 
предотвращает выполнение вредоносного кода в случае его попадания в стек. 


($) Пример использования техники переполнения стека для организации атаки 


($) Скрытые коммуникации и скрытые каналы 
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Переполнение буфера является частным случаем уязвимостей, являющихся следствием 
слабого контроля вводимых данных. В более общем случае — любая непредвиденная соз- 
дателем программы форма вводимых данных может вызвать совершено неожиданные по- 
следствия, и этот факт может быть использован злоумышленником. Как любят повторять 
специалисты по разработке безопасного кода, «любой ввод данных — это зло». 


Тривиальным примером является веб-форма, в которой пользователю предлагается ввести 
номер статьи, выбранный из списка, включающего 10 статей. Если разработчик не пред- 
видел, что вместо ожидаемого положительного числа из диапазона от 1 до 10 пользователь 
может ввести отрицательное, к примеру, – 1, то приложение может повести себя совсем не 
так, как он планировал, например, выдать конфиденциальный документ вместо публично 
доступной статьи. 


Единственный метод борьбы с внедрением вредоносного кода при вводе данных — под- 
вергать любые данные, получаемые программой от источника, не вызывающего доверия, 
тщательной проверке перед их использованием. Этот подход аналогичен принципу защиты 
периметра сети, рассмотренному в главе 27: вся информация, поступающая извне доверен- 
ного периметра, должна тщательно фильтроваться. Фильтрацию вводимых данных могут 
выполнять программа или файервол, работающий на прикладном уровне, а также система 
обнаружения вторжений (1810) хоста. В идеале фильтрацию выполняют все три компонента: 
программа лучше всего знает специфику вводимых данных и возможные угрозы, в то время 
как файервол и 1$) могут выполнять более общие проверки для определенного типа угроз. 


Троянские программы 


Троянские программы, или трояны ({гојап), — это разновидность вредоносных программ, 
которые наносят ущерб системе, маскируясь под какие-либо полезные приложения. 


Троянские программы могут быть отнесены к самому простому по реализации виду вредонос- 
ных программ, применяя в качестве прикрытия знакомые пользователю приложения, с кото- 
рыми он работал и раньше, до появления в компьютере «троянского коня», либо принимая 
вид нового приложения, которое пытается заинтересовать пользователя-жертву какими-то 
своими якобы полезными функциями. Однако суть троянской программы в обоих случаях 
остается вредительской: она может уничтожать или искажать информацию на диске, пере- 
давать данные (например, пароли) с «зараженного» компьютера на удаленный компьютер 
хакера, приводить в неработоспособное состояние установленное на атакованном компьютере 
программное обеспечение, участвовать в проведении П0$-атак на другие удаленные ком- 
пьютеры. Так, одна из известных троянских программ А105 ТКОЈАМ ОГЗКУ, разосланная 
нескольким тысячам исследовательских организаций на дискете, при запуске перемешивала 
символы в именах всех файлов и заполняла все свободное пространство жесткого диска. 


Сетевые черви 


Сетевые черви (могт) — это программы, способные к самостоятельному распространению 
своих копий среди узлов в пределах локальной сети, а также по глобальным связям, перемеща- 
ясь от одного компьютера к другому без всякого участия в этом процессе пользователей сети. 
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Поскольку большинство сетевых червей передаются в виде файлов, основным механизмом 
их распространения являются сетевые службы, основанные на файловом обмене. Так, червь 
может рассылать свои копии по сети в виде вложений в сообщения электронной почты или 
путем размещения ссылок на зараженный файл на каком-либо веб-сайте. Однако существу- 
ют и другие разновидности червей, которые для своей экспансии используют более слож- 
ные приемы, например, связанные с ошибками («дырами») в программном обеспечении. 


Главная цель и результат деятельности червя состоит в том, чтобы передать свою копию На 
максимально возможное число компьютеров, — новых потенциальных жертв, для поиска 
которых черви задействуют встроенные в них средства. 


Типичная программа-червь не удаляет и не искажает пользовательские и системные файлы, не 
перехватывает электронную почту пользователей, не портит содержимое баз данных, а наносит 
вред атакованным компьютерам потреблением их ресурсов, например, для рассылки спама или 
проведения массированной атаки в составе ботнета. 


При создании типичного сетевого червя хакер, прежде всего, определяет перечень сете- 
вых уязвимостей, которые он собирается использовать для проведения атак средствами 
создаваемого червя. Такими уязвимостями могут быть как известные, но не исправленные 
на некоторых компьютерах ошибки в программном обеспечении, так и пока не известные 
никому ошибки, которые обнаружил сам хакер. Чем шире перечень уязвимостей и чем 
более они распространены, тем больше узлов может быть поражено червем. Червь состоит 
из двух основных функциональных компонентов: 


О Атакующий блок, состоящий из нескольких модулей (векторов атаки), каждый из 
которых рассчитан на поражение конкретного типа уязвимости. Этот блок открывает 
«входную дверь» атакуемого хоста и передает через нее свою копию. 


О Блок поиска целей (локатор), собирающий информацию об узлах сети, а затем на осно- 
вании этой информации определяющий, какие из исследованных узлов обладают теми 
уязвимостями, для которых хакер имеет средства атаки. 


Эти два функциональных блока являются обязательными и присутствуют в реализации 
любой программы-червя. Некоторые черви нагружены их создателями и другими вспомо- 
гательными функциями, о которых мы скажем позже. 


Упрощенно жизненный цикл червя может быть описан рекурсивной процедурой, состо- 
ящей из циклического запуска локатора и атакующего блока на каждом из последующих 
заражаемых компьютеров (рис. 30.2). 


В начале каждого нового цикла червь, базирующийся на захваченном в результате предыду- 
щей атаки компьютере, запускает локатор для поиска и формирования списка узлов-целей, 
пригодных для проведения каждой из специфических атак, а затем, используя средства ата- 
кующего блока, пытается эксплуатировать уязвимости узлов из этого списка. В результате 
успешной атаки червь копирует все свои программы на «новую территорию» и активирует 
локатор. После этого начинается новый цикл. На рисунке показано, как червь лавинообраз- 
но распространяется по сети. Заражение тысяч компьютеров может занять всего несколько 
минут. Некоторые виды червей не нападают на уже зараженные и/или подвергающиеся 
атаке в данный момент узлы. Если же такая проверка не предусмотрена в алгоритме работы 
червя, то в сети случайным образом могут возникать очаги стихийных П0$-атак. Локатор 
идентифицирует цели по адресам электронной почты, [Р-адресам, характеристикам уста- 
новленных на хостах ОС, номерам портов, типам и версиям приложений. 
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Рис. 30.2. Экспансия червя в сети 


Для сбора информации локатор может предпринимать действия, связанные как с поисками 
интересующих данных на захваченном им в данный момент хосте, так и зондированием 
сетевого окружения. Простейший способ получить данные локально — прочитать файл, 
содержащий адресную книгу клиента электронной почты!. Помимо почтовых адресов 
локатор может найти на узле базирования другие источники информации: таблицы конфи- 
гурационных параметров сетевых интерфейсов, АКР-таблицы и таблицы маршрутизации. 
Зная ІР-адреса хоста базирования и шлюзов, локатор достаточно просто может определить 
ІР-адреса других узлов этой сети. Для идентификации узлов локатор может также исполь- 
зовать [СМР-сообщения или запросы ріпе, указывая в качестве адресов назначения все 
возможные ІР-адреса. Для определения того, какие приложения работают на том или ином 
хосте, локатор сканирует различные хорошо известные номера ТСР- и ОРрР-портов. Опре- 
делив тип приложения, локатор пытается получить более детальные характеристики этого 
приложения. Например, пусть некая программа-червь имеет в своем арсенале средства для 
атаки на некоторые версии веб-сервера Арасће. Для поиска потенциальных жертв локатор 
этого червя зондирует узлы сети, посылая умышленно ошибочные запросы к веб-серверу: 


СЕТ / НТТР/1.1\г\п\г\п 


1 Для коллекционирования почтовых адресов локатор может прибегать и кболее интеллектуальным 
методам, использующим в работе спамеры (о спаме см. далее). 
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Узел, на котором установлен сервер Арасће, отвечает на запрос, как и рассчитывал раз- 
работчик червя, то есть сообщением об ошибке, например, такого вида: 

НТТР/1.1 400 Ваа Кедиеѕї 

Оа+е: Моп, 23 Ғеб 2004 23:43:42 СМТ 

Ѕегмег: Арасһе/1.3.19 (МІХ) (Кеа-На/ііпих) тоа <551/2.8.1 

Орепѕ51/0.9.6 ОАМ/1.0.2 РНР/4.0.4р11 тоа рег1/1.24 01 

Соппесїіоп: с1оѕе 

ТгапѕҒег-ЕпсодӢіпв: сһипкеа 

СопТепї - Туре: Техі/һЕтм1; сһагѕеё=іѕо-8859-1 


Из этого ответа локатор узнает о том, что на узле установлен веб-сервер Арасће вер- 
сии 1.3.19. Для червя этой информации может быть достаточно, чтобы внести данный 
узел в число целей. 


Собрав данные об узлах сети, локатор анализирует их подобно тому, как это делает хакер 
при сетевой разведке. Для атаки выбираются узлы, удовлетворяющие некоторым условиям, 
которые говорят о том, что данный узел, возможно, обладает уязвимостями нужного типа 
(для них в атакующем блоке есть средства нападения). Понятно, что при таком «предпо- 
ложительном» способе отбора целей не всякая предпринятая атака обязательно приводит 
к успеху. Неудача рассматривается атакующим блоком червя как штатная ситуация, он 
просто сворачивает все свои действия, направленные на не поддавшийся атаке узел, и пере- 
ходит к атаке на следующую цель из списка, подготовленного локатором. Для передачи 
своей копии на удаленный узел атакующий блок червя часто использует рассмотренную 
ранее уязвимость переполнения буфера. Помимо локатора и атакующего блока (см. выше) 
червь может включать некоторые дополнительные функциональные компоненты: 


С Блок удаленного управления и коммуникаций служит для передачи сетевым червям 
команд от их создателя, а также для взаимодействия червей между собой. Такая воз- 
можность позволяет хакеру координировать работу червей для организации распреде- 
ленных атак отказа в обслуживании. Сетевые черви могут быть использованы и для ор- 
ганизации параллельных вычислений при решении таких требующих большого объема 
вычислений задач, как, например, подбор секретного ключа шифрования или пароля. 


О Блок управления жизненным циклом может ограничивать работу червя определенным 
периодом времени. 


О Блок фиксации событий используется автором червя для оценки эффективности атаки, 
реализации различных стратегий заражения сети или оповещения других пользовате- 
лей о повреждениях, нанесенных их компьютерам. Результатом работы данного блока 
может быть, например, список ІР-адресов успешно атакованных машин, посланный 
хакеру в виде файла или сообщения электронной почты. 


Вирусы 


Вирус (уігиѕ) — это вредоносный программный фрагмент, который может внедряться в другие 
файлы. 


Стремление злоумышленника сделать код вируса как можно более коротким часто огра- 
ничивает логику работы вируса очень простыми решениями, которые, однако, иногда 
приводят к весьма разрушительным последствиям. Так, например, один из реально су- 
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ществовавших вирусов, состоящий всего из 15 (!) байтов, записывал свою копию поверх 
других файлов в начало каждого сектора диска, в результате чего система быстро терпела 
крах. Некоторым утешением в подобных случаях является то, что одновременно с падением 
ОС прекращает свое существование и вирус. 


Вирус может внедрять свои фрагменты в разные типы файлов, в том числе в файлы ис- 
полняемых программ (рис. 30.3). При этом возможны самые разные варианты: замещение 
кода, когда размер инфицированного файла не меняется, вставка вирусного кода целиком 
в начало или конец исходной программы, замена фрагментов программного кода фраг- 
ментами вируса с перестановкой замещенных фрагментов и без перестановки ит. д. ит. п. 
Более того, код вируса может быть зашифрован, чтобы затруднить его обнаружение анти- 
вирусными программами. 


В отличие отчервей вирусы (так же, как и троянские программы) не содержат в себе встроенного 
механизма активного распространения по сети и способны размножаться своими силами только 
в пределах одного компьютера. 


Как правило, передача копии вируса на другой компьютер происходит с участием пользова- 
теля. Например, пользователь может записать свой файл, зараженный вирусом, на сетевой 
файловый сервер, откуда тот может быть скопирован всеми пользователями, имеющими 
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Рис. 30.3. Различные варианты расположения кода вируса в зараженных файлах 
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доступ к данному серверу. Пользователь может также передать другому пользователю 
съемный носитель с зараженным файлом или послать такой файл по электронной почте. 
То есть именно пользователь является главным звеном в цепочке распространения вируса 
за пределы своего компьютера. Тяжесть последствий вирусного заражения зависит от того, 
какие вредоносные действия были запрограммированы в вирусе злоумышленником. Это 
могут быть мелкие, но раздражающие неудобства (замедление работы компьютера, умень- 
шение размеров доступной памяти, трата рабочего времени на переустановку приложений) 
или серьезные нарушения безопасности: утечка конфиденциальных данных, разрушение 
системного программного обеспечения, частичная или полная потеря работоспособности 
компьютерной сети. 


Программные закладки 


Программная закладка — это встроенный в программное обеспечение объект, который при опре- 
деленных условиях (входных данных) инициирует выполнение не описанных в документации функ- 
ций, позволяющих осуществлять несанкционированные воздействия на информацию. Функции, 
описание которых отсутствует в документации, называют недекларированными возможностями. 


Программные закладки могут выполнять различную вредоносную работу, в частности: 


О шпионить за действиями пользователя и передавать эту информацию на определенный 
сервер -- это так называемые шпионские программы (5ру\аге); 


Ы получать доступ к конфиденциальной информации; 
О искажать и разрушать данные. 


В то же время недекларированные возможности программы не обязательно являются 
вредоносными. Так, они могут быть дополнительными функциями, включенными в про- 
грамму для отладки, но не имеющими описания для рядовых пользователей. Это могут 
быть и забытые функции, особенно если речь идет о программной системе, в разработке 
которой участвовали десятки программистов. Существует также класс недекларированных 
возможностей программы, внедряемых в нее для развлечения пользователя (и самих про- 
граммистов тоже), — так называемые «пасхальные яйца» (Еаѕѓег Ер5$). «Пасхальное яйцо» 
прерывает нормальную работу пользователя, который, возможно, устал рассматривать 
ячейки таблицы своего документа, и радостно приветствует его интересной картинкой, 
сообщением, а то и приглашением поиграть в игру. Авторы наблюдали однажды такое «пас- 
хальное яйцо» в заставке экрана «Трубы» (30 Ріреѕ) ОС Місгоѕоќ УЛп4о\$ — на экране 
на несколько минут среди труб появился очень симпатичный чайник. Появился, исчез, 
и больше никогда мы его не видели, хотя «Трубы» долго работали на наших компьютерах. 


Антивирусные программы 


Антивирусные программы давно стали необходимым атрибутом жизни любого пользо- 
вателя. На домашних компьютерах работают индивидуальные пакеты антивирусной за- 
щиты, на предприятиях — корпоративные пакеты, состоящие из клиентской программы 
и сервера, рассылающего обновления. Антивирусные программы используют различные 
методы для обнаружения вредоносных кодов в файлах, сообщениях электронной почты 
или НТМГ-страницах. 
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Вирус (будем так обобщенно называть далее любой вредоносный код) определенного типа 
имеет характерную последовательность программных кодов, которая его с какой-то степе- 
нью вероятности идентифицирует. Эта последовательность кодов называется сигнатурой 
(подписью) вируса. Чтобы обнаружить вирус, антивирусная программа должна иметь 
библиотеку сигнатур. Постоянное обновление этой библиотеки является одной из самых 
главных проблем любой компании, выпускающей антивирусное программное обеспече- 
ние. Сервер корпоративной антивирусной системы периодически рассылает обновленные 
версии такой библиотеки своим клиентам. 


Метод сигнатур является основным методом обнаружения вирусов, но обладает прин- 
ципиальным недостатком — неспособностью обнаружить новый тип вируса. Кроме того, 
разработчики вирусов прибегают к маскировке сигнатур, что приводит к нераспознаванию 
вируса. Для этого, например, злоумышленник может использовать полиморфический код, 
когда код изменяет сам себя во время выполнения, это, естественно, приводит к тому, что 
у него нет постоянной сигнатуры. 


Антивирусные программы используют также эвристические методы, которые пытаются 
выявить вирус на основе структуры его кода или его поведения, не имея точной сигнату- 
ры кода, но используя некоторые обобщенные признаки подозрительной структуры кода 
(статический анализ) или подозрительного поведения (динамический анализ). 


Для безопасного анализа поведения анализируемой программы она помещается в изоли- 
рованную виртуальную среду, например, в среду отдельной виртуальной машины или же 
созданной программной «песочницы»!, ограждающей систему от опасных действий про- 
граммы. В этом случае действия вируса не могут причинить вред основной операционной 
среде компьютера. Помещение анализируемой программы в специальную защищенную 
среду является затратным как по ресурсам, так и по времени. Существует более эффек- 
тивный, хотя и более рискованный подход, когда анализируемой программе разрешают 
пробное выполнение в рабочей среде, при этом антивирусное программное обеспечение 
следит за всеми ее действиями и при необходимости блокирует их, не давая нанести ущерб 
рабочей среде. При обнаружении вируса антивирусная программа помещает зараженную 
программу в карантин и уведомляет об этом пользователя, который принимает решение 
об удалении зараженной программы или же, если это возможно, удалении из нее вируса. 


ПРИМЕЧАНИЕ — м 


Антивирусные программы работают в пространстве ядра, поэтому сами могут причинить ущерб 
операционной системе из-за своих ошибок. Зафиксированы случаи, когда под видом антивирусной 
программы пользователям предлагалось вредоносное программное обеспечение. 


Ботнет 


Бот — это программа, которая выполняет некоторые автоматические (часто интеллектуальные) 
действия по командам удаленного центра управления. 


1 Песочница (зап4 ох) представляет собой механизм жесткого контроля набора ресурсов (оператив- 
ной памяти, места на диске и др.) и системных сервисов, доступных подозрительной программе. 
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Бот является программным роботом, способным реагировать на возникающую ситуацию 
и полученные извне команды некоторыми действиями — протоколированием сообщений 
(полезный бот ведет архив чатов), отправкой сообщений, например, поддержанием «разго- 
вора» с удаленным собеседником или же участием в О)о5-атаке на какой-то сайт или сеть. 
Бот может, например, распознавать определенный, заданный ему «хозяином» контекст 
в дискуссии пользователей социальных сетей Интернета (1 луе}оигпа|, ЕасеБооК) и стать ее 
участником, выдавая те или иные сообщения. Бот обычно находится в следящем режиме, 
анализируя сообщения и ожидая команды из центра управления или возникновения за- 
ранее определенной ситуации. 


Боты проникают в удаленные компьютеры нелегально как вирусы, черви или «троянские 
кони». Пользователь может не знать, что его компьютер заражен ботом, потому что ком- 
пьютеру этого пользователя бот не причиняет вреда — его цели находятся где-то в Интер- 
нете. Обычно злоумышленник заражает кодом бота несколько компьютеров, используя 
различные известные уязвимости ОС и приложений, а затем уже код бота, подобно сете- 
вому червю, пытается заразить как можно больше машин. 


Зараженную ботом машину иногда называют зомби. Группа согласованно работающих 
ботов называется ботнетом (Бо{пег) или сетью ботов. Боты часто управляются централи- 
зованно, из одного или нескольких центров, являющихся серверами сети ботов. Возможны 
и более сложные зависимости между ботами одной сети с иерархическими или одноран- 
говыми схемами взаимодействия. Для управления ботами центр управления использует 
различные протоколы, одним из наиболее распространенных является протокол ІКС 
(Іпсегпе К@ау СЪаг), позволяющий передавать мгновенные сообщения (чат). 


Так как «хозяин» ботнета точно не знает, какие именно машины оказались зараженными 
кодом бота, для распознавания компьютеров-зомби используются методы сетевого скани- 
рования, например сканирование портов, если код бота слушает определенный порт ТСР. 
Жертвы «зомбирования» могут составить внушительную армию, способную претворить 
в жизнь мощную р роѕ-атаку, распространить огромное количество спама или осуществить 
массовый сбор персональных данных. Заметим, что ботнет может работать и как наемная 
армия — ее «командир» может предоставлять услуги своей сети третьим лицам. 


Одним из инцидентов, связанных с пресечением вредоносной деятельности ботнета, 
была операция, проведенная компанией МисгозоЁ совместно с ФБР в июне 2013 года 
по разрушению центров управления ботнетами, зараженными вирусом Спаае!. Этот 
вирус фиксирует нажатия клавиш на компьютере и передает информацию в свой центр 
управления. В резульгате проведенной операции было выявлено и разрушено 1462 центра 
управления, каждый из которых контролировал свой ботнет. Сообщалось, что эти сети 
причинили ущерб почти 5 миллионам пользователей на сумму свыше полмиллиарда 
долларов. 


Безопасность веб-сервиса 


Веб-браузер с его графическим интерфейсом является основным средством доступа поль- 
зователя к большинству сервисов Интернета: сайтам новостей, разнообразным справочни- 
кам, библиотекам, интернет-магазинам, онлайновым банкам, социальным сетям, таким как 
ЕасеБоок, Тулщег, Глуе]оигпа|, ВКонтакте, облачным хранилищам информации и приложе- 
ниям. Даже такие консервативные устройства, как сетевые маршрутизаторы и коммутато- 
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ры, стали поддерживать административный доступ посредством веб-интерфейса!. Поэтому 
справедливым будет сказать, что основная часть информации поступает в клиентский 
компьютер через веб-браузер, а, как отмечено, именно вводимые данные представляют 
собой главную угрозу для программного обеспечения компьютера. Через веб-браузер 
попадает в ваш компьютер большинство вредоносных кодов (вирусы, черви и троянские 
программы), а также назойливые программки, размещающие рекламные объявления на 
просматриваемой странице без вашего согласия. 


Безопасность веб-браузера 


Особенностью защиты веб-службы является то, что такая защита требует решения двух 
достаточно независимых задач: 


О обеспечение безопасности программных и аппаратных ресурсов компьютера, на кото- 
ром эта служба выполняется; 


О обеспечение приватности того лица, которое этой службой пользуется. 


Приватность некоторого лица — это требование неприкосновенности частной жизни этого лица, 
включающая запрет на сбор, хранение, использование и распространение информации о его 
частной жизни без его согласия. 


За время, прошедшее с момента появления первого браузера, разработчики браузеров нако- 
пили большой опыт в борьбе со злоумышленниками, и меню приватности и безопасности 
современного браузера включает много опций. Рассмотрим, что стоит за этими опциями, 
какие риски они стараются снизить и за счет каких средств. 


Приватность и куки 


Популярность Интернета негативно повлияла на приватность его пользователей. Потен- 
циально все действия пользователя в Интернете — посещенные сайты, просмотренные 
страницы, запросы поиска — могут быть зафиксированы и проанализированы, и анти- 
террористические службы, а также службы маркетинга торговых предприятий активно 
этим занимаются. 


Веб-серверы ведут журналы посещений своих сайтов с запоминанием ІР-адресов клиентов 
и предоставляют эти данные владельцам сайтов в удобной форме. Однако анонимность 
в этих журналах до какой-то степени сохраняется, особенно если адрес назначен провай- 
дером динамически. 


Браузеры также ведут журналы посещения сайтов и страниц. И если на веб-сервере дан- 
ные о ваших посещениях, скорее всего, растворились бы в общей статистике, то на вашем 
компьютере (если он не используется вместе с другими сотрудниками или посетителями 
кафе или гостиницы) сохраняется история именно ваших посещений и интересов (послед- 
нее — в виде запросов к поисковым машинам). Поэтому теперь конфискация компьютера 
и просмотр журнала истории браузера — одно из первых действий следователя при рас- 


1! Это в основном относится к домашним маршрутизаторам, рассчитанным на администратора-неспе- 
циалиста, которому веб-интерфейс представляется гораздо более удобным, чем командная строка. 
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следовании дел в отношении подозреваемой личности. В то же время все современные 
браузеры позволяют пользователю достаточно детально управлять журналом истории 
посещений, который хранит как адреса посещенных сайтов и страниц, так и кэшированные 
страницы этих сайтов. 


Угрозу приватности несут также куки. Куки (сооКіеѕ — печенье) представляет собой не- 
большой фрагмент текстовых данных, которым обмениваются веб-сервер и браузер. Куки, 
относящийся к некоторому сеансу браузера с сервером, содержит информацию о текущем 
состоянии этого сеанса, аутентификационные данные и персональные настройки клиента, 
а также уникальный для сервера номер сеанса. В течение всего сеанса куки сохраняется 
на стороне браузера. При установлении соединения сервер генерирует содержимое куки 
и передает его браузеру. Веб-браузер, получив текст куки от веб-сервера, сохраняет его 
в виде файла. В течение всего сеанса пользователя, а возможно, и при всех повторных об- 
ращениях данного пользователя к данному сайту, браузер передает куки серверу в том же 
виде, в каком он его получил в последнем ответе сервера. Тем самым достигается эффект 
запоминания состояния сеанса, причем состояние запоминается на стороне клиента. 


Веб-сервер обычно применяет данные куки пользователя для его же (пользователя) удоб- 
ства, например, интернет-магазины обычно хранят в куки карту покупок пользователя, 
в них также может храниться история навигации пользователя по страницам сайта. Ти- 
пичной информацией, помещаемой веб-сервером в куки, является идентификатор сеанса 
пользователя (510), на основе которого связываются воедино отдельные запросы пользо- 
вателя. Даже в случае работы по протоколу НТТР 1.1, который поддерживает длительные 
ТСР-сеансы, эти сеансы могут прерываться из-за временной неактивности пользователя, 
так что объединение отдельных фрагментов сеанса (с тем, чтобы он представлялся поль- 
зователю единым) полезно для индивидуального обслуживания пользователя. 


Куки бывают постоянными — они хранятся в файловой системе ОС и имеют длительные 
сроки действия — и временными — их браузер хранит в оперативной памяти и удаляет 
после своего закрытия. 


Куки имеют не только срок, но и область действия — она задается доменным именем сайта, 
который создал куки. Браузер не передает куки сайту с другим доменным именем, но так 
как доменное имя может быть задано не для конкретного сайта, а для некоторого домена, то 
есть, например, не для ммм.сіѕсо.сот, а для сіѕсо.сот, то куки могут иметь более широкую 
область действия, чем один сайт. 


Так как куки представляют собой текстовые файлы, то угрозы безопасности для пользо- 
вателя они не представляют (за исключением случая, когда в них содержится аутенти- 
фикационная информация пользователя — этот случай рассматривается в следующем 
разделе). Вирусы и другие вредоносные коды с помощью куки не распространяются, так 
что бытующее мнение, что куки могут заразить компьютер клиента, не соответствует дей- 
ствительности. В то же время куки могут повредить вашей приватности, особенно если 
в них помещается чувствительная личная информация — данные ваших карт покупок, 
формы запросов с вашими именем и фамилией, адресом и т. д. Некоторые сайты использу- 
ют куки третьих сторон, например рекламных компаний. Таким образом, с помощью куки 
ваши предпочтения становятся известны большому количеству сайтов. Самым простым 
способом защиты своей приватности является полный запрет на прием куки от любых 
сайтов, но при этом вы можете лишиться некоторых удобств, основанных на использовании 
куки, например тех или иных дополнительных услуг интернет-магазина. Поэтому браузеры 
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оставляют пользователю возможность решать, от каких сайтов он запрещает принимать 
куки, а от каких, наоборот, разрешает. 


Протокол НТТР$ 


Веб-браузер для взаимодействия с веб-сервером по умолчанию использует протокол НТТР 
без дополнительных мер по обеспечению основных свойств безопасных коммуникаций, 
то есть аутентификации сторон, а также конфиденциальности, доступности и целостности 
данных. Естественно, это создает значительные риски безопасности при работе с сайтами 
Интернета. 


Так, при перехвате злоумышленником незащищенных НТТР-пакетов, циркулирующих 
между веб-браузером и веб-сервером, вполне возможны атаки вида «человек посередине». 
Одной из разновидностей этой атаки является захват сеанса, при котором пользователь 
аутентифицируется на веб-сервере с помощью своего имени и пароля, а затем веб-сервер 
рассматривает куки, передаваемые в сообщениях браузера, как свидетельство того, что 
очередной запрос пришел от аутентифицированного пользователя, и продолжает сеанс 
без повторного запроса пароля. Понятно, что такой способ аутентификации пользователя 
в случае множественных сеансов протокола НТТР 1.0 или разрыва по какой-то причи- 
не длительного сеанса протокола НТТР 1.1 предоставляет злоумышленнику хорошую 
возможность для захвата сеанса. Для этого ему достаточно перехватить НТТР-запрос, 
содержащий куки, и затем посылать свои запросы от имени легального пользователя на 
соответствующий веб-сервер. 


Другим вариантом атаки «человек посередине» является атака повторения, когда злоу- 
мышленник повторяет перехваченные запросы легального пользователя, возможно, не- 
сколько модифицируя их. Например, перехватив запросы сеанса пользователя с его банком, 
злоумышленник может инициировать повторный перевод денег, но теперь уже на свой счет. 


В упомянутых примерах злоумышленник использовал уязвимости процесса аутентифи- 
кации пользователя. Очевидно, что прослушивание открытого трафика между браузером 
и веб-сервером может также нарушить конфиденциальность данных и их целостность, если 
злоумышленник по какой-то причине внесет какие-то изменения в данные. Злоумышлен- 
ник может также нарушить доступность данных, просто отбрасывая ответы веб-сайта. 


Основным способом обеспечения перечисленных свойств безопасности данных, цир- 
кулирующих между веб-браузером и веб-сайтом, является использование безопасного 
протокола передачи гипертекста (Нурецехе Тгапѕѓег Ргоѓосо! Зесиге, НТТР$) вместо 
НТТР. Словосочетание «протокол НТТР5$» не вполне корректно, поскольку аббревиатура 
НТТР$ подразумевает совместно работающую пару протоколов: НТТР и 551. Тем не менее 
название НТТРЅ прижилось, и пользователь должен его употреблять, когда собирается 
инициировать защищенное соединение с веб-сервером, например, вводя адрес ћірѕ:/ Мм. 
сіѕсо.сот. В НТТР5-соединении по умолчанию применяется порт 443 вместо порта 80 
в НТТР-соединении. 


В НТТР$-соединении сам протокол НТТР, работающий поверх протокола 5$, остается неиз- 
менным. Все атрибуты безопасности коммуникаций — аутентификация, конфиденциальность 
и целостность — обеспечиваются протоколом защищенного канала 551. 
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Остановимся на некоторых особенностях аутентификации при работе веб-службы. Как 
вы помните, аутентификация в протоколе $51. основана на цифровых сертификатах. По- 
этому при обращении веб-браузера к веб-серверу по протоколу НТТР$ каждая из сторон 
должна иметь подписанный центром сертификации сертификат, достоверность которого 
можно проверить по цепочке доверия, ведущей к одному из доверенных корневых центров 
сертификации. 

Производители с каждой копией своего браузера поставляют так называемый встроен- 
ный цифровой сертификат, который может применяться для аутентификации данного 
браузера. Этот сертификат не аутентифицирует пользователя, работающего с браузером, 
а служит только для создания защищенного канала при передаче данных между браузером 
и веб-сервером. В то же время пользователь может запросить личный иифровой сертификат 
у некоторого центра сертификации и установить его соответствующим образом в своей 
ОС, указав, что он должен применяться для логического входа. В таком случае вход в веб- 
сервер, требующий аутентификации, может происходить не на основе имени и пароля 
пользователя, а с помощью этого сертификата, который поставляется браузером серверу 
по запросу последнего. 


Аутентификация сервера при установлении НТТР5-соединения всегда выполняется на 
основе цифрового сертификата сервера, получаемого владельцем сервера. Этот серти- 
фикат подтверждает, что данный веб-сервер имеет определенные (одно или несколько) 
доменные имена. Браузер обычно уведомляет пользователя о том, что сертификат сервера 
по какой-то причине является недействительным, оставляя на усмотрение пользователя 
окончательное решение -- отказаться от соединения или все же установить его. Иногда 
сложный механизм проверки аутентичности сервера работает вхолостую, поскольку поль- 
зователи недооценивают угрозы со стороны «невыясненных» веб-серверов и предпочитают 
действовать на свой страх и риск. 


($) Проверка действительности сертификата веб-сервера 


Безопасность средств создания 
динамических страниц 


Современные браузеры поддерживают разнообразные средства создания динамических 
страниц. Все они представляют собой программные коды, полученные извне, и, следо- 
вательно, несут риски, связанные с несанкционированным воздействием на клиентский 
компьютер, начиная с чтения конфиденциальных данных и удаления файлов пользователя 
до разрушения ОС. Из соображений безопасности пользователи должны очень серьезно 
относиться к любому предложению веб-сайта установить новую надстройки или вставку, 
чтобы, например, лучше проигрывать видеоклип определенного формата или же быстрее 
загружать файлы. Очень может быть, что, помимо своей основной функции, такая програм- 
ма будет заниматься и какой-то побочной деятельностью, наносящей вред вычислительной 
среде пользователя, например, фиксировать нажатия клавиш клавиатуры и передавать их 
злоумышленнику. 


Менее страшны вставки и надстройки, изменяющие параметры и внешний вид браузера 
так, чтобы заставить пользователя посещать определенные сайты, обращаться к опре- 
деленным поисковым системам, ориентированным на рекламу, и пользоваться опре- 
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деленными программами. Этот вид вредоносного программного обесиечения получил 
название рекламных вирусов ( А4уегзату Маге, 40 Маге). Избавиться от паразитов бывает 
непросто — они глубоко встраиваются в ОС и часто не удаляются обычными средствами 
браузера. Наибольшую опасность для браузера представляют АсоеХ-объекты, действия 
которых не ограничены никакими рамками: они могут читать, создавать и удалять файлы, 
выполнять любые системные действия. Компания М1сгозой и другие производители 
программного обеспечения снабжают свои АсиуеХ-объекты цифровой подписью, по- 
этому браузер должен принимать только АсиуеХ-объекты, подписанные вызывающим 
доверие разработчиком. 


Разработчики /аоа5стірі-сценариев и Јаоа-апплетов, также применяющихся для создания 
динамических страниц, встроили в них средства безопасности, что значительно снижает 
риски, связанные с их использованием. Браузеры позволяют пользователям управлять 
процессом создания динамического содержания страницы. Так, пользователь может за- 
претить выполнять АсйуеХ-объекты или ]ауа-аиплеты либо разрешить их выполнение 
только для доверенных сайтов, список которых он составляет сам. 


Безопасность электронной почты 


Аналогично защите веб-службы, защита электронной почты также может осуществляться 
в двух направлениях — обеспечение приватности пользователя (например конфиден- 
циальности переписки) и обеспечение безопасности ресурсов компьютера (ОС, при- 
ложений). 


Угрозы приватности почтового сервиса 


Пользователи, обменивающиеся сообщениями электронной почты через Интернет, должны 
принимать во внимание наличие следующих угроз. 


О спуфинг имени отправителя --- злоумышленник выдает себя за другого пользователя, 


У спуфинг почтовых серверов -- сервер предъявляет при передаче сообщения ложнос 
имя домена; 


О модификация сообщения -- искажение или отбрасывание сообщения (то есть наруше- 
ние целостности или доступности сервиса); 


О утечка информации — чтение сообщения злоумышленником (нарушение конфиден- 
циальности); 


О нарушение последовательности сообщений; 


О нарушение свойства неотказуемости — отказ отправителя от факта отправки письма, 
отказ почтового сервера от факта приема письма, отказ получателя от факта получения 
письма; 


О спам — засорение почтовых ящиков пользователеи письмами, которые пользователи 
не просили или же не ожидали получить (обычно спам состоит из рекламных со- 
общений); 


О фишинг — электронное письмо обычно является первым этапом фишинга (напом- 
ним, что целью такой атаки является завладение учетными данными пользователя 
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для последующего применения, например для снятия денег со счета, в электронных 
платежах и т. п.). Такое электронное письмо может выглядеть очень похожим на 
«настоящее», то есть иметь все атрибуты оформления письма некоторого банка или 
солидной организации и содержать просьбу обновить свой пароль по приводимой 
ссылке. Второй этап фишинга выполняет веб-сайт, на который попадает пользователь, 
перейдя по ссылке; 


Ц нарушение приватности пользователя за счет сбора метаданных почтового сервиса. 


Все перечисленные угрозы — следствие того, что изначально почтовая служба Интернета, 
основанная на протоколе 5МТР не поддерживала никаких механизмов защиты почтово- 
го обмена — текст сообщения в ЗМТР-пакетах передавался в открытом виде и его легко 
было прочитать и модифицировать. Спуфинг отправителя также являлся очень простым 
делом — почтовый клиент злоумышленника или же его почтовый сервер помещали туда 
любое имя, требуемое для обмана получателя. Факт такой подмены обнаружить трудно, 
так как имена пользователей не хранятся в О№5 и проверить соответствие [Р-адреса имени 
этим путем невозможно, а аутентификация отправителя в протоколе 5МТР предусмотрена 
не была (получатель аутентифицировался паролем при получении сообщения). Отсутствие 
аутентификации отправителя делало сложным обеспечение неотказуемости — всегда 
можно было отказаться от факта отправки письма, сославшись на спуфинг отправителя, 
мол, это кто-то другой его написал, а указал меня в качестве отправителя. Квитанция о про- 
чтении письма тоже не является в таких условиях достоверной — ее мог сгенерировать 
злоумышленник, преследуя какую-то свою цель. Отправителю спама также легко было 
отказаться от авторства рассылки. 


К сожалению, применение прошедшего времени в описании такой грустной картины 
не совсем оправданно — сплошь и рядом электронная почта Интернета используется 
в своем первозданном виде, хотя за долгие годы существования сервиса разработаны 
различные стандарты безопасности электронной почты. Велика и инерция масштабной 
распределенной системы интернет-почты — существует огромное количество почтовых 
серверов, работающих под управлением старых версий программного обеспечения, не 
поддерживающего новые стандарты, или же под управлением новых версий, в которых 
новые функции защиты не активированы администраторами. Далее рассмотрены не- 
сколько стандартов безопасности почты Интернета, направленные на снижение рисков, 
связанных с ее работой. 


Аутентификация отправителя 


Существует несколько методов аутентификации отправителя: 

О ограничение отправителей провайдером услуг; 

О аутентификация отправителя провайдером услуг; 

О аутентификация отправителя на основе его личного сертификата. 


Ограничение отправителей провайдером услуг не является в строгом смысле аутенти- 
фикацией. Этот способ основан на том, что почтовый сервер провайдера принимает по 
протоколу 5МТР только те письма, которые отправляются клиентами этого провайдера. 
Принадлежность отправителя к клиентам провайдера проверяется по его ІР-адресу — адрес 
должен принадлежать пулу адресов, которым провайдер владеет и которые он выделяет 
своим клиентам. Некоторые провайдеры поступают еще строже — они не разрешают сво- 
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им клиентам пользоваться чужими почтовыми серверами для отправки писем, блокируя 
соединения на порт 25 от клиентских компьютеров, если они направлены не к почтовому 
серверу провайдера. То есть провайдер не только блокирует чужих пользователей, но и не 
разрешает своим пользователям обращаться к почтовым услугам других провайдеров. Тем 
самым осуществляется взаимная защита провайдеров от чужих пользователей (а также 
привязка пользователей к провайдеру, что преследует чисто коммерческие цели). Этот 
метод не гарантирует получателю аутентичности отправителя, но защищает провайдера 
от спама, отправляемого чужими пользователями. 


Аутентификация отправителя провайдером услуг. Расширение протокола ЗМТР — ЗМТР 
АЧОТН — описывает процедуру аутентификации пользователя при отправке сообщения 
агентом пользователя серверу провайдера почтовых услуг. В соответствии с этим рас- 
ширением почтовый сервер и агент пользователя в начале 5 МТР-сеанса договариваются 
о методе аутентификации. В список возможных методов, в частности, входят: открытый 
пароль (обычно передается по защищенному каналу $51), аутентификация на основе 
слова-вызова и др. 


Аутентификация пользователя первым сервером почтовой системы решает многие про- 
блемы — защищает провайдера от спама, позволяет при необходимости решить проблему 
неотказуемости отправителя. Но при дальнейшей передаче информация 06 аутентичности 
пользователя теряется, поэтому отправитель должен полагаться на добросовестность про- 
вайдера, под чьим административным управлением находится почтовый сервер. Даже если 
провайдер достоин доверия, этот факт не исключает атаки «человек посередине», когда 
кто-то перехватывает сообщение по пути к почтовому серверу получателя и изменяет имя 
отправителя. 


Аутентификация отправителя на основе его личного сертификата. Этот способ аутен- 
тификации работает «из конца в конец», так как сообщение подписывается цифровой 
подписью отправителя, чей открытый ключ находится в его личном сертификате. Возмож- 
ность включения цифровой подписи в качестве части сообщения описана в расширении 
5/ММЕ и предусматривает использование различных стандартов цифровой подписи, 
например РКС$-7 компании КЅА или РСР (Ргейу Соо4 Ргіуасу). Аутентификация на 
основе цифровой подписи отправителя решает несколько задач: 


О получатель может проверить аутентичность отправителя и целостность сообщения; 
Ч отправитель не может отказаться от факта отправки письма; 


О подпись квитанции о получении/чтении письма делает невозможным отказ получателя 
от факта получения письма. 


Цифровая подпись в расширении $5/МІМЕ занимает две части сообщения: 


О в первой части описывается используемый стандарт цифровой подписи (протокол) 
и примененная хеш-функция; 


О во второй части, которая является приложением, находится сама цифровая подпись, 
охватывающая все части сообщения вместе с их заголовками. 


В варианте РКСЅ-7 частью цифровой подписи 5/МІМЕ является также цифровой сер- 
тификат, выданный одним из сертифицирующих центров, входящих в иерархию РКІ, 
и удостоверяющий принадлежность открытого ключа отправителю, указанного в заголовке 
почтового сообщения. Вот пример сообщения, подписанного по стандарту РКС$-7 почто- 
вым клиентом Місгоѕоќ УЛп4до\$ Маі 6.0 и принятого почтовым клиентом АрріІе Ма! 6.6 
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(сообщение представлено в режиме Кау боигсе программы АррІе Ма! 6.6, показывающим 
все МІМЕ-элементы сообщения): 


Вефигп-ра{П: <пата1іа@о11іҒег.со.ик»> 
Епуе]1оре-фо: уісїог@о11і+ег.со.ик 
Меѕѕаре-10: <5Е0892093Е784С5098ВЕ069275909А7С5@пафа$НаРС> 
Егот: <пафа]11а@о11Фег.со.ик> 
То: “уісіог” ‹му1с*ог@о11+ег.со.чК> 
Ѕибјесї: ѕесиге ета11 
Оаїе: 5аї, 9 №у 2013 11:05:18 -0000 
МІМЕ -Мегѕіоп: 1.0 
Сопбепї- Туре: ми1+ірагі/ѕірпеа; 
ргоћосо1=”арр1ісатіоп/х-рксѕ7-ѕірпаїиге”; 
тіса16=5НА1; 
роџпЯаѓгу=”- - - -= М№ехїРагі 000 0017 01СЕР0ЗВ.940А3930” 
Х-Ргіогіїу: 3 
Х-М5Маі1-Ргіогі+у: М№огта1 
Х-Ма11ег: М1сго$о++ Міпаомѕ Маі1 6.0.6002.18197 
Х-МітеоЕ: Ргоаисеа Ву М1сгозо++ МітеоіЕ \№\6.0.6002.18463 
Тһіѕ 1$ а ми1{1-раг& теѕѕаре іп МІМЕ Фогма+. 
------ = М№ехїРагі 000 0017 01СЕррЗВ.940А3930 
Сопёепї-Туре: ми1тірагі/а1їегпаёіхе; 
боипдагу=” - - - -= №ех+Рагі 001 0018 01СЕР0ЗВ.940А3930” 
------ = МехїРагі 001 0018 01СЕР0ЗВ.940А3936 
Сопепі - Туре: +ехї/р1аіп; 
сһагѕеё=”іѕо-8859-1” 
Сопепї -ТгапѕҒег-Епсодйіпе: аиоёеа-ргіп+аб1е 
Ні,=20 
І 15 тисһћ беї+ег Фо иѕе а ѕесиге ета1] соггеѕропепсе. =20 
Епјоу! 


------ = М№ехїРагі 000 0017 01СЕР0ЗВ.940А3930 
Сопёепї- Туре: арр1ісаћіоп/х-рксѕ7-ѕірпаїиге; 

пате='ѕтімте.р75” 
Сопфеп* -ТгапѕҒег-Епсоаіпе: Ббаѕеб4 
Сопепї -ріѕроѕіїіоп: аї+асһтепі; 

+1 ]епате=”$т1те.р7$” 
МТАбС5аС5ТЬЗООЕНАЧСАМТАСАОЕхС ?А)ВРУГОЕМССРУАМТАСС$ 46$ ТЬЗООЕНАОААОТТТ У ССВОҮм 
ЕБМесоАМСАОТСАО ЕО ОУ) Ко2ТПУСМАОЕРВОАиЬ 2 Е МАКСА10ЕВПМСОВОХЕРАЅВРМУВАОТСеЕК2ЕКу 
аХМетЕРСМ$ Ум АУБУООЕЕх1В76КУсп\/2АСВЕенк1ст5 ПЬСВУУЕАРТт\/0929Эуа2Е1МСАСАТУЕАХМ2 
ОМККМНЈ1сЗОрЕХће2ХЈиҮмМмеОвЕрОтоуардеғмёммрА1М2 АхМОО4М2 ҺаҒмёумоА1М2 АхМ004М2һа 


Здесь мы видим обе части цифровой подписи. Первая часть говорит о том, что это сообще- 
ние снабжено цифровой подписью: 


Сопъепї- Туре: ми1%ірагі/ѕірпеа; 
ргофосо]=”арр11са*1оп/х-рКс$7-$1впафиге”; 
тіса10=5НА1; 


Вторая часть (отделена пустой строкой) представляет собой собственно цифровую под- 
пись, форматированную алгоритмом Баѕеб4, который заменил 8-битные коды подписи 
А$СП-символами. 


На клиенте отправителя был установлен личный сертификат, полученный от компании 
Сотодо. Почтовые клиенты автоматически проверяют подлинность сертификата, с по- 
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мощью которого получена цифровая подпись РКС$-7. Для пользователя этот этап неза- 
метен — в случае положительной проверки он видит только обычное сообщение (помечен- 
ное, как правило, особым значком и сообщением «подписано таким-то»). А вот в случае 
отрицательной проверки, когда сертификат отправителя по какой-то причине оказался 
недействительным, пользователю-получателю выводится на экран предупреждение, и ре- 
шение о том, принять сообщение или нет, остается за ним. 


Второй вариант цифровой подписи в стандарте $/М1МЕ использует технологию РСР. 
Система РСР заслуживает особого внимания — именно она была первой системой 
цифровой подписи и шифрования почтовых сообщений Интернета, использующей тех- 
нику публичных ключей. Одним из основных отличий подходов, применяемых в РСР 
и РКС5-7 к получению цифровой подписи, является то, что в РСР принадлежность 
открытого ключа некоторому отправителю должна быть подтверждена заранее, до по- 
лучения письма от данного отправителя. Открытые ключи отправителей, с которыми 
получатель поддерживает защищенную переписку, должны храниться в некотором 
хранилище, доступном почтовому клиенту получателя. При приходе письма от доверен- 
ного отправителя клиентская почтовая программа получателя проверяет подлинность 
цифровой подписи с помощью открытого ключа отправителя, извлекая его из хранили- 
ща. Для поддержки операции проверки принадлежности открытого ключа некоторому 
пользователю в РСР вводится понятие паутины доверия (\№еЬ оѓ Тгиз(). Эта паутина 
похожа на публичную структуру РКТ, так как использует цифровые сертификаты и под- 
разумевает иерархию подписывающих их сущностей, то есть пользователей, которым вы 
прямо или косвенно (через иерархию доверительных отношений) доверяете. В принципе, 
пользователь системы РСР волен сам решать, каким образом проверять принадлежность 
открытого ключа другому пользователю РСР. 


Шифрование содержимого письма 


Шифрование содержимого письма может происходить как «из конца в конец», так и на 
отдельных участках маршрута следования письма, например, между агентом пользователя 
и почтовым сервером, принимающим письма от пользователей. 


О Шифрование содержимого письма из конца в конец предусмотрено спецификацией 
Ѕ/МІМЕ. Она определяет способ шифрования определенной части составного сообще- 
ния, шифруемой вместе со своим заголовком. 


О Шифрование на отдельных участках чаще всего осуществляется средствами защищен- 
ного канала, создаваемого между двумя непосредственно общающимися сторонами 
передачи сообщения. Этот канал может быть ІРЅес- или $581.-каналом, в зависимости 
от предпочтений администраторов сетей, в которых расположены эти стороны. Однако 
такой способ шифрования не гарантирует конфиденциальности сообщения на всем 
пути от отправителя до получателя, так как какой-то другой участок пути может не 
использовать защищенный канал, а протокола общей координации участников рас- 
пределенной схемы передачи писем пока не существует. 


Как и в случае цифровой подписи, для передачи шифрованного сообщения требуются 
две части — в первой части описывается факт шифрования и его способ, а вторая часть 
является приложением, в котором находится зашифрованная исходная часть сообщения. 
Спецификация $5/МІМЕ предусматривает использование РКС5-7 и РСР. 
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Защита метаданных пользователя 


Метаданными электронной почты называют некоторые характеристики сообщений, которые, 
не передавая самого содержимого сообщения, определяют адресатов переписки и некоторые 
другие обстоятельства этого процесса. Точнее, к метаданным электронной почты относят: 


О имя отправителя, его почтовый адрес и его {Р-адрес; 

Ф имя получателя, его почтовый адрес и его ІР-адрес; 

О тип данных и их кодировки; 

О уникальный идентификатор сообщения и связанных с ним сообщений; 
О дату, время и временную зону отправки и получения сообщения; 

3 форматы заголовков сообщения; 

О тему письма; 

О статус сообщения; 

О запрос на подтверждения получения и открытия письма. 


Как видно из описания, сбор метаданных почтового сервиса может дать детальную картину 
о деятельности некоторого пользователя, даже если он шифрует свои сообщения. Собрать 
их достаточно просто. Во-первых, потому что метаданные телекоммуникационных сер- 
висов — почты, мобильной связи, веб-сервиса и др. — законодательствами большинства 
стран либо совсем не защищаются, либо защищаются в намного меньшей степени, чем 
собственно данные сообщений сервиса. То есть в то время, как раскрытие содержимого 
переписки в Интернете требует решения суда, сбор метаданных не считается атакой 
и может проводиться беспрепятственно. 


Во-вторых, метаданные именно электронной почты легче привязать к определенному 
пользователю. Метаданные электронной почты хранятся на компьютерах отправителя 
и получателя (как и сами сообщения), но, что опасно для приватности пользователей, еще 
и в журналах почтовых серверов, которые передавали эти сообщения. Метаданные пользо- 
вателей почтового сервиса гораздо легче найти на серверах провайдеров, чем метаданные 
пользователей веб-сервиса, потому что пользователи почты «привязаны» к определенным 
почтовым серверам, например, они отправляют почту через сервер либо своего домашнего 
провайдера, либо корпоративный сервер, либо сервер провайдера гостиницы, вокзала или 
кафе, где они временно находятся, либо через сервер публичной почты, такой как Стаи. 
Пользователь получает почту также через вполне определенный сервер, на котором у него 
имеется учетная запись. Эта ситуация не похожа на веб-сервис, где пользователь может 
посетить любой сервер Интернета, так что найти следы его посещений путем проверки 
серверов практически невозможно, даже если пользователь регистрировался на некоторых 
ИЗ НИХ. 


О ценности метаданных 


Вынужденная отставка генерала Давида Петреуса из-за раскрытия любовной связи с его 
биографом Полой Бродвел подтверждает важность почтовых метаданных. Петреуса нельзя 
считать человеком, неосведомленным в вопросах информационной безопасности, — после 
многих лет блестящей военной карьеры, на пике которой он возглавлял штаб вооруженных 
сил США, командовал объединенной группировкой войск в Афганистане, Петреус был 
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назначен директором ЦРУ. Тем не менее главный шпион Америки понадеялся на то, что 
анонимный почтовый аккаунт в Ста! будет вполне безопасен для переписки с Полой, если 
они не будут отправлять с него писем, а только оставлять черновики писем в локальной 
папке сервера Ста!. Можно, конечно, сказать, что во всем была виновата Пола, которая 
начала отправлять с этого аккаунта угрожающие письма Джил Келли, другу семьи Петреу- 
сов. Джил заявила об этих письмах ФБР и это инициировало расследование. Так как в деле 
было замешано имя директора ЦРУ, расследование было проведено тщательно, и выйти 
на след анонимного пользователя почтового аккаунта помогли почтовые метаданные. 
Хотя в содержании писем не было никаких «зацепок», позволяющих определить личность 
автора, агенты ФБР смогли его найти, сопоставив данные логических входов анонима 
с перемещениями лиц из круга знакомых Петреуса. Выяснилось, что [Р-адреса анонима 
принадлежат нескольким гостиницам, в которых останавливалась Пола точно в те дни, ког- 
да аноним входил в свой аккаунт. Этого совпадения оказалось достаточно, чтобы основной 
подозреваемой стала Пола, а дальнейшие доказательства были уже добыты стандартными 
способами — обысками дома, личного компьютера и допросами. 


Ценность метаданных хорошо понимают спецслужбы, недаром одна из программ М№$А, 
о которых рассказал миру Сноуден, называется телефонной и связана с массовым сбо- 
ром метаданных мобильных пользователей, благо что законы, охраняющие приватность 
в США, запрещают прослушивание телефонных разговоров, но не запрещают собирать 
метаданные мобильных клиентов. 


Спам 


Спамом называют рассылку писем большому числу адресатов без их согласия или даже 
намерения вступить в переписку (по названию постоянно навязываемых посетителям кафе 
консервов из скетча Монти Пайтона). Является ли рассылка спама преступлением или нет, 
определяется законодательством конкретной страны. В начале 2000-х во многих странах 
были приняты акты, определяющие, что является спамом и какие наказания применять за 
его рассылку. Однако принятие этих актов только незначительно снизило процент спама, 
в общем потоке электронных писем он по-прежнему очень высок и достигает 80-85 %. 
Это связано с тем, что определение спама является достаточно безобидным. Например, 
массовая рассылка не считается спамом, если в письме ясно указана его рекламная цель, 
а получатель имеет возможность отписаться от рассылки. Кроме того, доказать на практике 
тот факт, что пользователь не давал согласие на получение письма, сложно. 


Со спамом борются провайдеры Интернета. В «Терминах и условиях» их договоров с поль- 
зователями обычно есть пункт, запрещающий пользователю рассылать спам. В Интернете 
существуют так называемые «черные списки» (Ы]асК11565) ІР-адресов электронной почты 
и/или доменных имен, с которых рассылался спам и письма с которых рекомендуется 
блокировать. Наиболее распространенной практикой является ведение черных списков 
в виде зон системы доменных имен (ОМ№5). Такая практика получила название ОМУВЕ 
(ОМ ВіІаск 1155). Почтовый сервер провайдера может быть сконфигурирован так, что 
он автоматически опрашивает какой-либо файл ОМ№5$-зоны, содержащий черный список, 
и блокирует письмо, если адрес или имя его отправителя имеется в списке. 


Одним из наиболее часто используемых черных списков спамеров является список не- 
коммерческой компании Ѕратћоиѕе. В главе 29 рассматривалась мощная ОЮ 00$-атака 
с суммарной интенсивностью трафика в 75 Гбит/с, которой в марте 2013 года был под- 
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вергнут веб-сервер этой компании. Атака на Зратвоцзе была местью одной из компаний, 
занимающейся рассылкой спама, за включение ее в черные списки. Ѕратћоиѕе имеет очень 
мощную распределенную систему О№5$-серверов, которые предоставляют по запросу почто- 
вых серверов или клиентов черные списки. ЗратВоц$е ведет несколько таких списков — для 
спамеров, для хостов, зараженных вирусами, для хостов, не выполняющих аутентификацию 
при передаче письма на почтовый сервер (это считается нарушением политики безопасности 
почтового сервиса). Владельцы адресов, попавших в черный список, могут оспорить решение 
Зратроцзе, это нормальная процедура, так как при современном «незащищенном» состоянии 
почты Интернета ошибки при определении источника спама неизбежны. 


Атаки почтовых приложений 


Текст почтового сообщения, на первый взгляд, не может причинить вред компьютеру 
пользователя. Однако гибкость современной почты позволяет злоумышленникам внедрять 
в сообщения разнообразную информацию, в том числе исполняемые коды, которые уже 
не являются столь безобидными. Проще всего поместить вредоносный код в приложение 
почтового сообщения. Почтовый клиент при открытии пользователем приложения пере- 
дает его одной из программ клиентского компьютера для обработки. Если приложением 
является исполняемый файл, например файл с расширением .ехе, то почтовый клиент 
передаст его на выполнение ОС. 


Расширения выполняемых программ могут быть и другими, например, если это ]ауа- 
программа или скрипт командного процессора. Исполняемый код может быть также вы- 
полнен в виде макроса или скрипта какого-либо документа, например документа М5 Мога 
или Ехсе!. Такое приложение вызывает меньше подозрений (ведь это только текст или 
таблица), но скрипты документов также могут получить доступ к ресурсам компьютера 
и причинить ему вред. Наконец, вредоносный код может находиться и в теле сообщения 
(если оно написано на языке НТМІ) в виде ЈауаЅсгірі-скриптов или, что действительно 
опасно, АсііуеХ -объектов. Поэтому все почтовые сообщения должны проходить обязатель- 
ную проверку антивирусной программой на наличие вредоносного кода в приложениях 
и самом сообщении. 


Безопасность облачных сервисов 


Облачные вычисления как источник угрозы 
Ограниченная подконтрольность провайдера 


Модель облачных вычислений существенно отличается от традиционной модели вычисле- 
ний, используемой сегодня в корпоративных ИС, и это отличие прежде всего сказывается 
на обеспечении их безопасности. Природа данного отличия довольно проста — вместо 
того, чтобы строить собственную ИС и управлять ею силами сотрудников предприятия, 
предприятие начинает пользоваться услугами системы, созданной посторонней организа- 
цией-провайдером. При этом организация-провайдер владеет всей инфраструктурой ИС 
и управляет ею, обеспечивая в том числе безопасность данных, принадлежащих предпри- 
ятию-клиенту. Сотрудники предприятия-клиента используют свои компьютеры только 
как терминалы доступа к облаку, а все данные предприятия, включая личные данные 
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сотрудников, хранятся и обрабатываются «где-то там, в облаке». Предприятию-клиенту 
остается только следовать совету Рональда Рейгана: «доверяй, но проверяй». 


Такой революционный переворот в модели вычислений не мог не обеспокоить специали- 
стов по безопасности. Многие из них согласны в том, что облачные вычисления — вещь 
хорошая, но отсутствие гарантий безопасности облачных вычислений сводит на нет все 
преимущества облака. 


Для этих опасений, безусловно, есть основания, однако многое зависит от типа организа- 
ции-клиента и модели облачных вычислений, которую клиент собирается использовать. 
Понимание моделей облачных вычислений — необходимое условие для правильной оценки 
рисков предприятия при переходе на новый тип ИС. 


Предприятие-клиент облачных сервисов имеет весьма ограниченный контроль над ме- 
ханизмами безопасности своих данных, обрабатываемых виртуальными машинами про- 
вайдера и хранящимися в виртуальных хранилищах. Особенно это справедливо для услуг 
модели ЅааЅ, когда защита всех элементов ИС, включая прикладные программы пользо- 
вателя, осуществляется провайдером. Предприятие-клиент в этом случае участвует лишь 
в обеспечении безопасности компьютеров своих сотрудников, которые применяются как 
терминалы облачной среды. При этом клиент Іаа$-сервиса должен самостоятельно забо- 
титься о безопасности своих приложений — следить за тем, чтобы обновления приложений 
периодически получались и устанавливались, устанавливать и обслуживать антивирусные 
программы и программы блокировки спама, выполнять все остальные действия в соответ- 
ствии с политикой безопасности предприятия, которые относятся к приложениям. Обычно 
в этой модели конфигурирование средств безопасности ОС также является делом клиента. 


В модели Раа$ контроль над средствами безопасности верхних уровней разделяется между 
провайдером и клиентом. В таких условиях клиент должен стараться получить как можно 
более полный доступ к средствам аудита провайдера — к сообщениям и журналам средств 
безопасности, его виртуального файервола, системы 105, антивирусных и антиспамовых 
программ и т. п. Кроме того, полезно также проводить аудит работы самого провайдера, 
привлекая для этого сторонние фирмы, пользующиеся устойчивой репутацией в этой об- 
ласти. 


Получение информации от средств защиты провайдера в реальном времени (мониторинг) 
и доступ к историческим данным этих средств должен быть предусмотрен в договоре 
о предоставлении услуг провайдером. Этот важный документ должен оговаривать все де- 
тали взаимоотношений провайдера и клиента, а так как облачные услуги являются новым 
видом телекоммуникационных услуг, то внимание ко всем его деталям должно быть самое 
пристальное. 


($) Соглашение об уровне обслуживания с провайдером облачных сервисов 


Наличие сертификатов на соответствие средств безопасности провайдера популярным 
программам сертификации также может частично компенсировать отсутствие полного 
контроля над этими средствами. 


Разделение сложной инфраструктуры провайдера 


При использовании услуг облачного провайдера вы разделяете его инфраструктуру с дру- 
гими арендаторами, которых не знаете. Разделение ресурсов провайдера осуществляется не 
на физическом уровне, а с помощью механизмов виртуализации. Значит, злоумышленник 
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может заключить договор с вашим провайдером и попытаться использовать бреши в ме- 
ханизмах виртуализации для получения несанкционированного доступа к вашим данным. 
Кроме того, нельзя исключать ошибок персонала провайдера, в результате которых вирту- 
альные барьеры могут быть нарушены. 


Инфраструктура облачного провайдера намного сложнее инфраструктуры стандартного 
центра данных, что представляет собой дополнительную угрозу безопасности облачных 
сервисов. Кроме таких стандартных элементов виртуализации, как гипервизоры, вирту- 
альные машины, виртуальные маршрутизаторы и файерволы, подобная инфраструктура 
включает многочисленные дополнительные компоненты управления: средства самостоя- 
тельного динамического выделения ресурсов клиентами, измерители потребления ресур- 
сов, средства управления квотами, нагрузкой, мониторинга качества, услуг и т. п. Кроме 
того, облачные сервисы могут быть реализованы в облачной среде другого провайдера, что 
еще более усложняет картину. Обычно администраторы корпоративных ОС и приложений 
получают доступ к ним через локальную сеть. При использовании облачных сервисов ад- 
министративный доступ должен выполняться через Интернет, что несет дополнительные 
угрозы. Необходимо убедиться, что облачный провайдер поддерживает только хорошо за- 
щищенные соединения для предоставления административного доступа своим клиентам. 


Угроза конфиденциальности персональным данным 


При использовании услуг корпоративной сети персональные данные сотрудников пред- 
приятия хранятся в справочной службе предприятия (например, работающей на основе 
МісгоѕоК Асиуе Юігесѓогу) и предприятие несет ответственность за их конфиденциаль- 
ность в соответствии с законами и правовыми актами. В том случае, когда сотрудники 
пользуются услугами облачного провайдера, их персональные данные (имена и пароли) 
хранятся в справочной службе провайдера. Так как ответственность за их конфиденци- 
альность, в конечном счете, все равно несет предприятие, необходимо убедиться, что про- 
вайдер надлежащим образом обеспечивает их конфиденциальность — как при передаче 
личных данных через Интернет, так и при хранении их в разделяемой между арендаторами 
справочной службе провайдера. Для повышения уровня защиты личных данных можно 
применять раздельные наборы данных для локальной аутентификации пользователей и их 
аутентификации у облачного провайдера. Но это довольно громоздкое решение, которое 
для большой организации может оказаться неработоспособным. 


Другим решением является применение схемы федеративной аутентификации — личные 
данные пользователей хранятся в справочной службе предприятия, а служба аутенти- 
фикации провайдера взаимодействует со службой аутентификации предприятия через 
защищенное соединение Интернета. 


Мультинациональность облачных услуг, законодательство 
и политика 


В мире облачных вычислений существуют различные варианты реализации сервисов 
в отношении того: 


О где данные физически размещены; 
О где они обрабатываются; 


9 откуда происходит доступ к этим данным. 
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Зачастую эти три точки находятся в разных странах, в каждой из которых действует свое 
законодательство. В разных странах также могут быть зарегистрированы предприятие- 
клиент и облачный провайдер. Законодательные аспекты таких многонациональных услуг 
определены плохо — эта работа находится в начальной стадии. В результате появляется 
много неясностей во взаимоотношениях провайдеров и клиентов многонациональных об- 
лачных услуг, а значит, риски использования этих услуг весьма высоки. Снизить риски, 
связанные с многонациональными облачными сервисами, можно за счет непосредственного 
указания в договоре конкретной судебной инстанции определенной страны, которая будет 
разбирать любые споры между провайдером и клиентом, если они возникнут. 


Чтобы облачные вычисления могли успешно развиваться как глобальная, не знающая 
границ услуга, они должны быть отделены от политики. К сожалению, сегодня законы, 
принимаемые разными правительствами, часто оказывают негативное влияние на разви- 
тие глобального облака. Так, одним из результатов принятия США Патриотического Акта 
2004 стало то, что Канада решила не использовать серверы Интернета, расположенные на 
территории США, опасаясь за конфиденциальность данных, которые Канада хранит на 
своих компьютерах. Разоблачения Сноудена в отношении программы РВІЅМ привели 
Бразилию к решению построить собственный сегмент Интернета с основными сервисами, 
поддерживаемыми серверами, находящимися на территории Бразилии. 


Облачные сервисы как средство повышения 
сетевой безопасности 


Несмотря на то что облачные сервисы принято рассматривать как источник новых угроз 
безопасности, они могут существенно улучшить информационную безопасность предпри- 
ятия — особенно если это небольшое предприятие, у которого нет специального подраз- 
деления, занимающегося безопасностью. Существует несколько преимуществ облачной 
модели над традиционными подходами к организации вычислений. Некоторые из них 
следует рассматривать в качестве потенциально применимых, поскольку они предполагают 
соответствующую корректную организацию процессов управления безопасностью про- 
вайдером услуг; другие же являются следствием самой парадигмы облачных вычислений. 


Избыточность и резервирование ресурсов 


Высокая степень масштабирования ресурсов облачных провайдеров обеспечивает также 
высокую доступность этих ресурсов и, как следствие, данных, обрабатываемых этими 
ресурсами. Избыточность и резервирование ресурсов являются одними из основных 
принципов построения облачной среды. Обычно облачный провайдер располагает боль- 
шим количеством центров данных в разных географических точках, а возможно и странах, 
при этом реплики данных одного и того же клиента хранятся в нескольких таких центрах. 
Это требуется как для повышения производительности за счет приближения данных 
к пользователям (если это данные публичные, предназначенные для всех пользователей 
Интернета), так и для обеспечения доступности данных в случае технических отказов или 
природных катастроф. Кроме того, избыточность ресурсов вызвана необходимостью обе- 
спечивать эластичность сервисов, то есть возможность быстрого увеличения нагрузки по 
запросу клиента. В корпоративной сети такую высокую доступность ресурсов обеспечить 
трудно, и она чаще всего будет экономически неоправданна. 
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Поглощение ОВо$-атак 


Распределенная избыточная инфраструктура центров данных облачного провайдера по- 
зволяет эффективно бороться с О)о5-атаками. Отражение мощной ОО)о5-атаки является, 
наверное, наиболее сложной задачей для администратора корпоративной сети, так как 
фильтрация потока пакетов интенсивностью в десятки, а то и сотни гигабайт в секунду, 
направленного на единственную копию сервера через канал связи, требует наличия очень 
производительного файервола. Такие файерволы, специально созданные для отражения 
ОПо5$-атак, существуют. Однако даже если предприятие может себе позволить приобрести 
и установить столь дорогостоящее устройство, остается проблема узкого места, которое 
представляет собой единственная копия атакуемого сервера (скорее всего, это веб-сервер, 
возможности которого публиковать открытые данные злоумышленник пытается подавить) 
и единственный канал связи сервера с Интернетом с фиксированной пропускной способ- 
ностью. Поэтому в начальной стадии атаки, когда администратор еще не успел определить 
признаки, отличающие пакеты атаки от пакетов легальных пользователей, файервол 
принципиально не может защитить сервер от атаки, пропуская весь трафик к серверу и тем 
самым блокируя его работу. 


В сети провайдера облачных услуг отразить 0 00$-атаку на ресурсы клиента принципи- 
ально проще. На рис. 30.4 показана достаточно типичная структура сети облачного провай- 
дера с четырьмя центрами данных, рассредоточенными по географическим регионам, при 
этом в каждом центре имеется сервер с копией данных некоторого клиента. Для баланса 


Интернет 


Рис. 30.4. Распределение и поглощение трафика 0005-атаки инфраструктурой 
облачного провайдера 
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нагрузки провайдер применяет маршрутизацию с произвольной (алусаѕі) рассылкой, 
в результате трафик запросов клиентов направляется ближайшему (относительно метрики 
маршрутизации) серверу. 


При возникновении Юр 00$-атаки трафик ботов злоумышленника также распределяет- 
ся между серверами провайдера, как и трафик клиентов, поэтому атака не может быть 
такой же эффективной, как в случае единственного сервера и единственной линии 
доступа к нему. К тому же провайдер, как правило, поддерживает значительный запас 
пропускной способности линий доступа для успешного обслуживания пиков потреб- 
ностей клиентов, поэтому «забить» линии доступа облачного провайдера злоумышлен- 
нику труднее. Можно сказать, что в начальный период ОО)о5-атаки инфраструктура 
облачного провайдера «впитывает» трафик атаки как губка, без значительного ущерба 
для трафика легальных пользователей. А так как серверы провайдера защищены высо- 
копроизводительными файерволами, то после обнаружения факта атаки и определе- 
ния признаков, по которым можно отличить трафик атаки от трафика пользователей, 
администратор провайдера вносит соответствующие изменения в правила файерволов 
и они начинают блокировать трафик атаки. Внимательный читатель может заметить, 
что только что прочитанное пояснение вполне подходит к описанию Юр П0$-атак на 
корневые О№5-серверы — и это не удивительно, так как механизм поглощения трафика 
атаки в обоих случаях одинаков. 


Квалификация персонала и качество 
платформы вычислений 


Провайдер облачных услуг является крупной организацией (иначе он не сможет обеспе- 
чить масштабируемость, эластичность и некоторые другие свойства этой модели) и, как 
всякая крупная организация, может себе позволить специализацию своих администраторов 
и операторов во всех областях обеспечения информационной безопасности. В результате 
специалисты провайдера получают большой опыт в распознавании всего спектра угроз, 
актуальных в настоящее время, а также в установке и конфигурировании средств отраже- 
ния этих угроз, таких как файерволы, системы 125/1ТР5, антивирусные системы ит. п., что, 
естественно, повышает безопасность данных клиентов облачных сервисов. 


Важно и то, что платформа вычислений (сетевая и компьютерная) может оказаться более 
качественной у облачного провайдера, чем у предприятия-клиента. Причиной является ее 
более высокая степень однородности, которая определяется тем, что провайдер оказывает 
одни и те же услуги большому количеству клиентов. Поэтому центры данных провайдера, 
как правило, строятся на одних и тех же моделях маршрутизаторов, коммутаторов, файер- 
волов, серверов и гипервизоров виртуальных машин. Однородность упрощает управление 
и сокращает количество ошибок конфигурирования, а значит, делает более простым и эф- 
фективным обеспечение безопасности такой платформы. 


Другая причина заключается в масштабности центров данных и сети провайдера облачных 
сервисов, что позволяет ему покупать для платформы самые совершенные и произво- 
дительные компоненты защиты данных, например высокопроизводительный файервол, 
способный отфильтровывать пакеты интенсивных ОоЗ-атак. Провайдеры облачных услуг 
стараются сертифицировать свои платформы по различным программам сертификации 
безопасности, чтобы завоевать доверие клиентов, — это также повышает вероятность того, 
что используемая платформа обладает высоким качеством. 
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После выяснения новых видов угроз, связанных с применением публичных облачных сер- 
висов, у корпоративных специалистов по безопасности может возникнуть вопрос: а стоит 
ли овчинка выделки? Ответ не очевиден, но при его выборе нужно принимать во внимание 
не только тактические, но и стратегические соображения. А стратегические соображения 
говорят, что у облачных сред большое будущее, так что если сегодня они, возможно, еще 
не созрели для немедленного применения крупным предприятием с большим количеством 
чувствительных данных, то их безусловно нужно изучать и, возможно, опробовать, имея 
в виду потенциальную значимость для развития информационных технологий (и не только 
их). Соображения перспективности и значимости облачных сервисов должны учитываться 
администраторами безопасности и руководством предприятия при выработке политики 
безопасности в отношении использования этих сервисов. 


Вопросы к части МП 


10. 


Отметьте в таблице, что из перечисленного может быть отнесено к субъектам, а что 
к объектам системы контроля доступа к ресурсам ИС: 


ИСИГИ 
О ОИ ИО 
О ООО О 
ыы И И 
О ЗА 
а «и 
ния р: 


Файлы 
Пропускная способность каналов связи 
Сетевые сервисы 


Используя приведенный далее список терминов, вставьте пропущенные слова в сле- 
дующее предложение: «Пользователи получают ... к ресурсам ИС в результате ..., од- 
нако прежде им необходимо успешно пройти ... и ...». (Аутентификация, авторизация, 
идентификация, права доступа). 

Вставьте пропущенные слова из списка: «Стало известно, что в Интернете уже появи- 
лись ..., направленные на использование ... новой версии браузера. Реализация данной 
... может привести к ..., которая нанесет ... нашему предприятию». (Атака, уязвимость, 
эксплойт, ущерб, угроза). 


Приведите примеры ситуаций, при которых обеспечивается конфиденциальность, но 
не гарантируется целостность данных. 


Как называется свойство, которое характеризует систему, в которой документ всегда 
имеет достоверную информацию о его источнике (авторе)? 


Сколько секретных ключей требуется для переписки 50 человек «каждый с каждым», 
использующих алгоритм ЮЕ? 

Что определяет криптостойкость алгоритма шифрования: 

а) секретность алгоритма; 

б) секретность ключа; 

в) сложность алгоритма. 


Можно ли передать секретный ключ по открытому каналу, не используя шифрование? 


В главе 28 рассмотрен пример архитектуры сети с защитой периметра и разделением 
внутренних зон. Предложите альтернативный вариант. 

Какие из перечисленных ниже свойств образуют триаду безопасности СІА: 

а) конфиденциальность; 

б) неотказуемость; 

в) аутентичность; 

г) владение; 


11. 


12. 


13. 


14. 


15. 
16. 
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д) целостность; 

е) полезность; 

ж) захват привилегий; 

з) доступность. 

Укажите, какие из перечисленных атак являются активными (выберите вариант от- 
вета): 

а) прослушивание сетевого трафика; 

б) спуфинг; 

в) социальный инжиниринг; 

г) атака «отказ в обслуживании»; 

д) внедрение вируса. 

Укажите, какие из следующих утверждений являются ошибочными: 

а) Нет смысла предусматривать подсистему аутентификации приложения, осно- 


ванную на использовании многоразовых паролей, если многоразовые пароли уже 
используются и при логическом входе в систему. 


6) Надежная система авторизации может компенсировать недостаточную стойкость 
паролей пользователей, которые они использовали при входе. 


в) Стойкость системы защиты считается достаточной, если затраты на нее превысили 
запланированный уровень. 

г) Затраты на обеспечение безопасности информации, по крайней мере, не должны 
превышать величину потенциального ущерба от ее утраты. 

д) Иногда стойкость системы обеспечения безопасности считают достаточной, если 
стоимость ее преодоления злоумышленниками превосходит стоимость полученной 
ими выгоды. 

Что из перечисленного может быть секретным ключом криптосистемы (выберите 

вариант ответа): 

а) геометрическая фигура; 

б) сборник детских сказок; 

в) картина; 

г) число 5. 

В каких из перечисленных ниже средствах обеспечения безопасности используется 

шифрование (выберите вариант ответа): 

а) аутентификация, 

б) авторизация, 

в) протокол МАТ; 

г) защищенный канал; 

д) сетевой экран прикладного уровня; 

е) фильтрующий маршрутизатор; 

ж) цифровая подпись. 

Какую роль в обеспечении безопасности компьютерной сети играет протокол МАТ? 

Вставьте пропущенные слова («открытый» или «закрытый» ) в следующее пред- 

ложение: «Сертификат может быть представлен в форме, состоящей из трех частей: 

во-первых, ... части; во-вторых, той же информации, зашифрованной ... ключом серти- 
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17. 


18. 


19 


20. 


21. 


22; 


28; 


24. 


р рр проц чр ринин 


фицирующей организации, в-третьих, части, представляющей собой первые две части, 

зашифрованные... ключом владельца». 

Установите соответствие следующих терминов на русском языке (ущерб; уязвимость; 

вредоносное ПО; доступность; целостность; подмена содержимого пакета; распре- 

деленная атака, «отказ в обслуживании») и английском языке (Оеп1а| ої Ѕегуісе; 

ауаПабіігу; ицергку; ушпега Ку; тајуаге; ітрасі; ѕрооёпе; 0005). 

Укажите, какие из нижеперечисленных свойств определяют одностороннюю функцию 

Ү(х) (выберите вариант ответа): 

а) У(х) чрезвычайно сложно вычислить для любого входного значения х; 

6) У(х) просто вычисляется для любого входного значения х; 

в) аргумент х легко вычислить по известному У; 

г) вычисление х по известному У чрезвычайно затруднено; 

д) вычисление х но известному У абсолютно невозможно; 

е) значения функции от близких значений аргументов не должны значительно от- 
личаться. 

Поясните назначение алгоритма Диффи- Хеллмана (выберите вариант ответа): 

а) решает проблему передачи секретного ключа по открытому каналу; 

б) это то же самое, что и алгоритм КЅА; 

в) смягчает проблему масштабируемости распределения ключей. 

Сколько ключей требуется для секретной переписки 50 человек «каждый с каждым», 

использующих алгоритм КФА? 

Какие из следующих утверждений правильные (выберите вариант ответа): 

а) открытый ключ нужно защищать от подглядывания; 

6) открытый ключ нужно защищать от подмены; 


в) теоретически возможно зашифровать текст одним ключом, а расшифровать дру- 
ГИМ, который абсолютно никак не связан с первым, 


г) алгоритм КЅА основан на использовании функции разложения произведения 
большого числа на сомножители. 


В чем состоит ручная синхронизация паролей? Варианты ответов: 

а) администратор синхронизирует значения БД паролей на разных серверах сети; 

6) ручная процедура приведения всех паролей пользователя к единому значению; 

в) использование одного и того же пароля для доступа к разным по степени защищен- 
ности сервисам. 

Поясните, что представляют собой аутентификаторы из разряда «что-то знаю» (вы- 

берите вариант ответа): 

а) многоразовый пароль; 

6) одноразовый пароль, сгенерированный устройством; 

в) преобразование пользователем в соответствии с некоторым правилом символов, 
выводимых системой на экран, и использование их в качестве пароля; 

г) информация о месте и времени встречи. 


Отметьте недостатки аутентификации с использованием многоразовых паролей (вы- 
берите варианг ответа): 


а) возможность разгадывания пароля, если он слишком короткий; 
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25. 


26. 


27. 


28. 


20, 
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необходимость передачи пароля по сети в открытом виде; 
возможность подслушивания, подглядывания, «выманивания» пароля; 
ручная синхронизация; 

трудность запоминания надежных паролей; 

сложность реализации. 


Укажите, что из перечисленного содержится в сертификате (выберите вариант ответа): 


информация о владельце сертификата; 

открытый ключ владельца сертификата; 

закрытый ключ владельца сертификата; 

открытый ключ сертифицирующей организации; 

закрытый ключ сертифицирующей организации; 

информация о сертифицирующем центре, выпустившем данный сертификат. 


Поясните, как убедиться в подлинности сертификата (выберите вариант ответа): 


а) 
6) 


г) 


его надо расшифровать с помощью открытого ключа владельца сертификата и срав- 
нить с открытой информацией сообщения; 


его надо расшифровать с помощью закрытого ключа владельца сертификата и срав- 
нить с открытой информацией сообщения; 


его надо расшифровать с помощью открытого ключа сертифицирующей органи- 
зации; 
его надо послать для проверки в сертифицирующий центр. 


Основная идея процедуры единого логического входа состоит в том, что (выберите 
вариант ответа): 


а) 
6) 


в) 


пользователь выполняет логический вход в сеть только один раз при поступлении 
на работу, все остальное время система выполняет только его авторизацию; 

все пользователи выполняют процедуру логического входа с одного и того же 
компьютера; 

пользователь выполняет логический вход в сеть только один раз, затем результат 
этой аутентификации используется другими серверами или приложениями. 


Укажите цели использования электронной подписи (выберите вариант ответа): 


а) 
б) 


В) 


доказательство целостности сообщения; 
обеспечение конфиденциальности сообщения; 
доказательство авторства сообщения. 


Поясните, что из перечисленного характеризует дискреционный метод управления 
доступом, а что — мандатный (выберите вариант ответа): 


а) 
6) 


описание прав доступа дается в виде списков АСГ; 


право назначать права на доступ к объектам делегируются отдельным пользова- 
телям — владельцам объектов; 


данная система управления доступом страдает от невозможности гарантированно 
проводить общую политику; 


права доступа отдельного пользователя описываются АСЕ; 


решение о предоставлении права доступа принимается операционной системой на 
основе правила, 


30. 


31. 


32. 


33. 


34. 


35. 


36. 
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е) субъект может по своему усмотрению передать часть своих полномочий другим 
субъектам; 


ж) данная система управления доступом позволяет гарантированно проводить общую 
политику. 

Основными функциями файервола являются (выберите вариант ответа): 

а) аутентификация; 

б) авторизация; 

в) аудит; 

г) фильтрация трафика. 

Как может выглядеть запись в расширенном списке доступа, запрещающая передачу 


сообщений [СМР «Перенаправление маршрута» от любого хоста к хостам подсети 
145.8.146.0/24? 


Что означает данный список доступа: 
ассезз-11${ 2 регтіє 93.8.25.2 0.0.0.0 ассеѕѕ-115 2 4епу 93.8.25.0 0.0.0.255? 


Какие из следующих утверждений о технологии МАТ справедливы? Варианты ответов: 
а) устройство, поддерживающее МАТ, заменяет внешние ІР-адреса пакетов, которые 
использовались при маршрутизации пакета через Интернет, внутренними; 


б) устройство, поддерживающее МАТ, фильтрует входящий трафик, отбрасывая все 
пакеты с частными ІР-адресами назначения; 

в) причина обращения к технологии МАТ — дефицит адресов ІРу4; 

г) причина обращения к технологии МАТ — скрытие адресов хостов для повышения 
безопасности сети. 


Какова должна быть защита общедоступного сервера (компьютера-бастиона)? Вари- 
анты ответов: 


а) поскольку доступ к этому компьютеру открыт, его помещают в демилитаризован- 
ную зону, поэтому он не требует защиты; 
б) уровень защиты компьютера-бастиона такой же, как у серверов внутренней сети; 


в) компьютер-бастион должен быть особенно тщательно защищен от внешних поль- 
зователей; 


г) правила, определенные для компьютера-бастиона по доступу к ресурсам внутрен- 
ней сети, должны быть более строгими, чем правила, регламентирующие доступ 
к нему внешних пользователей. 


В чем состоят главные отличия системы обнаружения вторжений (105) от файерволов 
с запоминанием состояния сеанса? Варианты ответов: 
а) 105 не блокирует подозрительный трафик; 


б) 1058 анализирует не только события, связанные с прохождением трафика, но и дру- 
гие подозрительные события в сети; 

в) 105 не выполняет журнализацию событий; 

г) вотличие от файерволов, системы 105 всегда являются исключительно программ- 
НЫМИ. 


Справедливо ли следующее утверждение: «Прокси-сервер всегда работает в режиме 
запоминания состояния сеанса»? 
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37. 


38. 


39. 


40. 


41. 


Д2; 


43. 


Какие функции системы безопасности из перечисленных направлены на обеспечение 

подотчетности (выберите вариант ответа): 

а) авторизация; 

б) аудит; 

в) протоколирование событий; 

г) мониторинг; 

д) журнализация событий. 

В 105 для обнаружения вторжений применяются несколько типов правил: 

а) правила, основанные на сигнатуре атаки; 

6) правила доступа на основе меток безопасности объекта и субъекта; 

в) правила, основанные на анализе протоколов; 

г) правила, основанные на статистических аномалиях трафика. 

В чем состоит главная уязвимость протокола ІР? Варианты ответов: 

а) заголовок ІР-пакета переносит адреса источника и назначения в незашифрованном 
виде; 

6) он использует широковещательные адреса назначения; 


в) он позволяет каждому узлу Интернета взаимодействовать с каждым без предва- 
рительного установления соединения, 


г) он поддерживает фрагментацию пакетов. 

С помощью протокола [СМР злоумышленник может (выберите вариант ответа): 

а) определить, что некоторый хост находится в работоспособном состоянии; 

б) организовать Юо$-атаку; 

в) перенаправить маршрут; 

г) узнать, через какие промежуточные маршрутизаторы проходит маршрут до не- 
которого конечного узла. 

С какой целью злоумышленник должен подавить отправку АСК-сегментов на атаку- 

емый сервер в ходе атаки ЗУМ ЕІооа? Варианты ответов: 

а) чтобы скрыть свой ІР-адрес; 

б) чтобы открытые соединения оставались незавершенными; 

в) чтобы закрыть открытые соединения. 

Чем атака О№5-спуфинга отличается от атаки отравления О№5-кэша? Варианты от- 

ветов: 

а) ничем, это разные названия одной и той же атаки; 

б) в результате атаки отравления О№$-кэша ОМ№5$-сервер терпит крах, в то время как 
атака О№5-спуфинга к краху сервера не приводит; 

в) ватаке 2№-спуфинга ложный ответ предается клиенту, а в атаке отравления ОМ5- 
кэша — 0№-серверу; 

г) ватаке О№$-спуфинга ложный ответ передается О№5-серверу, а в атаке отравления 
О№-кэша — клиенту. 


Каким образом можно «подделать» маршрутное объявление ВСР, которое вы пере- 
даете вашему соседу, если ваша автономная система является транзитной для этого 
маршрута, а вы хотите, чтобы сосед не использовал этот маршрут для передачи тра- 
фика (выберите вариант ответа): 
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44. 


45. 


46. 


47. 


48. 


49. 


50. 


жд ооо 


а) добавить в объявление номер автономной системы вашего соседа; 

б) выбросить из последовательности определенную автономную систему; 

в) добавить номер своей автономной системы несколько раз; 

г) заменить своими адрес сети и номер исходной автономной системы. 

С какой целью в семействе протоколов ІРЅес функции обеспечения целостности ду- 

блируются в двух протоколах — АН и ЕЗР? 

Какую цель обычно преследует злоумышленник, используя эффект переполнения 

стека? Варианты ответов: 

а) испортить локальные переменные функции ядра ОС; 

6) поместить в стек вредоносный код и передать ему управление; 

в) исчерпать оперативную память компьютера. 

Антивирусная программа, работающая по мегоду сигнатур, может (выберите вариант 

ответа): 

а) выявлять только известные вредоносные коды; 

6) выявлять только вирусы, но не черви; 

в) выявлять «троянские кони»; 

г) выявлять только новые виды вредоносных кодов. 

Могут ли куки, переданные веб-сервером вашему веб-браузеру, заразить ваш компью- 

тер вирусом? 

С какой целью веб-сервер передает куки веб-браузеру клиента? Варианты ответов: 

а) для создания динамических веб-страниц; 

6) для сохранения состояния сеанса пользователя; 

в) для повышения защищенности сеанса. 

Какое утверждение относительно протокола НТТР является правильным? Варианты 

ответов: 

а) протокол НТТРЅ использует защищенный канал 551. для предотвращения атак 
на сеанс между веб-браузером и веб-сервером; 

б) протокол НТТР5 не является протоколом в строгом смысле этого термина; 

в) протокол НТТР$ использует цифровые сертификаты веб-браузера и веб-сервера 
для образования защищенного канала. 

Что делает облачные вычисления более безопасными, чем традиционные? Варианты 

ответов: 

а) высокая квалификация специалистов предприятий, предоставляющих облачные 
сервисы; 

б) высокое качество вычислительной платформы; 

в) способность поглощать трафик р 00$; 

г) централизация вычислительных ресурсов. 
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тол 


10. 
11. 
12. 
13. 
14. 
15. 


16. 
17. 
18. 
19. 
20. 
21: 
22, 


Интернет можно охарактеризовать, например, следующим образом: глобальная пу- 
бличная сеть с коммутацией пакетов, имеющая смешанную топологию, использующая 
стек протоколов ТСР/ТР, включающая магистральные сети, сети доступа и агрегиро- 
вания трафика. Интернет состоит из сетей операторов связи и их клиентов. 


Вычислительные ресурсы многотерминальных систем централизованы, а в компью- 
терной сети они распределены. 


Иерархическая звезда. 

Варианты а), б), в), г). 

Варианты 6), в), г). 

Практически невозможно. 

То, в котором фиксируется маршрут. 
Варианты а), г), д), ж). 


Невозможность динамического перераспределения пропускной способности физи- 
ческого канала между абонентами, возможность отказа в соединении, необходимость 
предварительного установления соединения, неэффективность использования про- 
пускной способности при передаче пульсирующего трафика. 


Наличие очередей и связанный с этим случайный характер задержек. 
Варианты б), г). 

Пропускная способность должна быть кратной элементарному каналу. 
Варианты а), б), в), г). 

Варианты а), 6), г). 


Сетевые службы в основном относятся к прикладному уровню. Модель ОЗ не вклю- 
чает пользовательские приложения. 


Да, конечно; например, стек ТСР/ІР состоит из 4 уровней. 

Нет, так как протокол не обязательно является стандартным. 

Да. 

Нельзя. 

Стандартное отклонение — 17,2, коэффициент вариации — 0, 27. 
Скорость потока может быть уменьшена путем отбрасывания пакетов. 


Скорость передачи отдельного пакета равна пропускной способности линии — 
100 Гбит/с. 
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25. 


24. 
25, 
26. 
27. 


28. 
29. 
30. 


Дискретизация по времени соответствует частоте квантования амплитуды звуковых 
колебаний 1/25 мкс, или 40 000 Гц. Для кодирования 1024 градаций звука требуется 
10 двоичных разрядов. Отсюда необходимая пропускная способность для передачи 
оцифрованного таким образом голоса равна 40 000 х 10 = 400 Кбит/с. 


Взвешенные очереди. 
Да, может. 
Вытеснение низкоприоритетного трафика. 


При активной схеме измерений на результат могут повлиять измерительные пакеты, 
при пассивной схеме — недостаточная синхронизация. 


Маршрут. 
Буфер в пакетных сетях необходим всегда. 


5К, 20К и 75К бит выбирается из каждой очереди за один цикл. 


Ответы к части П 


Да. 

Вариант в). 
Вариант в). 

193,5 ТГц. 

Да. 

Варианты а), в) иг). 
Вариант б). 


Нет. 


Влияние электромагнитного поля, создаваемого передатчиками, на соседние провода 
кабеля, к которым подключены входы приемников. 


С большим по абсолютной величине значением МЕХТ (которое всегда отрицательно). 
Вариант 6). 

258,5 Мбит/с. 

Да. 

400 бит/с. 


. Нет. 
. Вариантв). 


. 620. 


Вариант б). 


. Варианты а) иб). 


Варианты 6) ив). 


24. 
25. 
26. 
27. 
28. 
29. 
30. 
31. 
32. 
33. 
34. 
89; 
36. 
37. 
38. 
39. 
40. 
41. 
42. 
43. 
44. 
45. 
46. 
47. 
48. 
49. 
50. 
51. 
92. 
93. 
94. 
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Асинхронный. 

25 МГци 75 МГц. 
В 3 раза. 
Варианты а) ив). 
Варианты а) ив). 
Вариант 6). 
Варианты а) и б). 
Вариант б). 
Вариант б). 

60 

Вариант в). 

Нет. 

7-Й. 

Отдельный указатель для каждого из трех контейнеров УС-3. 


Вариант 6). 
Вариант б). 
Вариант в). 
Варианты а), б) ив). 


Вариант в). 

Да. 

Вариант б). 

Варианты а), в). 

Кадры $ЮН помещаются в кадры ОТМ как поток байтов, границы кадров игнорируются. 
Варианты а), в). 

Варианты б), в). 


Ответы к части 111 


1 
2. Верно. 
З. 
4 


. Вариант а). 


Индивидуальный локальный. 


Ответы 973 


Вариант 6). 
Варианта). 
Вариант 6). 
Варианты 6), в) иг). 


Вариант б). 


. Да. 

. Варианты в) и г). 

. Варианты а), в) иг). 

. Назначив ему наибольшее значение идентификатора. 
. Нет. 


Варианта), в) иг). 


. аепу #8:2:1е:0с:За:Ь8 ас:1Ё6Ъ:64:с7:46. 


регтіќ апу апу. 
Нет. 


Назначить ему отличное от группы значение административного ключа. 


. Вариант а). 


Удаляет поле тега. 
Варианты б) и в). 

Варианты а) и в). 

Нет. 

Вариант в). 


Ответы к части ІМ 


10. 


. Варианты а), д), и), к), н). 


Номер подсети 108.5.18.160. Для нумерации интерфейсов в данной сети может быть 
использовано 4 бита, то есть 16 значений. Так как двоичные значения, состоящие из 
одних нулей и одних единиц, зарезервированы, то в сети не может быть более 14 узлов. 


64 подсети, маска /30. 
Вариант г). 


‚ Между 03№5-именами и ІР-адресами в общем случае нет связи, поэтому ничего опре- 


деленного сказать нельзя. 
Вариант в). 


Да, для двухточечных соединений стандарт разрешает использовать адреса интер- 
фейсов 0 и 1. 


Варианты а), б), в). 
Варианты б), д). 
Варианты а), б), в), г). 


11. 
2: 
13. 
14. 
15. 


16. 
17. 
18. 
19. 
20. 
21. 


22. 
23. 


24. 
25. 
26. 


27. 
28. 
29. 
30. 
31. 
32. 
33. 
34. 
35. 
36. 
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Нет. 

Вариант г). 
Вариант а). 
Вариант б). 


Поскольку АКР-таблица строится для каждого интерфейса, то число таблиц для 
каждого из этих устройств равно количеству их сетевых интерфейсов с назначенными 
ІР-адресами. 


20 адресов (при условии, что в сети установлен ОНСР-сервер). 
Варпант а). 

Для агрегирования трафика. 

Варианты а), 6), г). 

Вариант в). 


Их может быть несколько. Выбор осуществляется на основе метрики или приоритета, 
а также для балансировки нагрузки. 


Вариант б). 
Нет. Для правильной маршрутизации пакетов в сети с использованием масок до- 


статочно того, что маски передаются протоколами маршрутизации КІР-2, ОЅРЕ или 
устанавливаются вручную для каждой записи таблицы маршрутизации. 


Вариант а). 
Вариант б). 


Да, если оно для обеспечения надежности возьмет на себя функции, подобные функ- 
циям ТСР например квитирование, тайм-аут ит. п. 


Объем полученных данных — 145 005 байт. 
Вариант г). 

Варианты а), в). 

Варианты а), б), в), е). 

Варианты а), в), г). 

Варианты а), б), в), д). 

Вариант в). 

00-80-48-ЕВ-7Е-60. 

Варианты в), г). 

Варианты а), 6), г), д). 


Ответы к части М 


1 
2 
3. 
4 


Варианты б) ив). 
Вариант б). 


Ответы 975 


240 мс. 

1,124875 с. 

Варианты а) и б). 

Потому что активные компоненты сети дороже пассивных. 
МОМ. 


С центральным арбитром. 


Нет. 

Варианта). 

Да. 

Вариантв). 
Вариант б) ив). 
Вариантв). 
Вариант 6). 
Вариант в). 
Варианты б) и в). 
Вариант б). 


Ответы к части Уі 


4. 


— — 


12. 
13. 


с ооо мо 


Да. 
Видимого света. 
Эффекта дифракции. 


За счет распределения энергии полезного сигнала в широком диапазоне частот, так 
что узкополосные помехи не оказывают существенного влияния на сигнал в целом. 


Как отношение выходной мощности, излучаемой данной антенной в определенном 
направлении, к выходной мощности, излучаемой идеальной изотропной антенной 
в любом направлении, при условии, что на вход обеих антенн поступают равные по 
мощности сигналы. 


А/2. 

Быстрого. 

За счет ортогональности кодов расширения, назначенных каналам. 
20 кГц. 


Данные передаются медленнее, так как станция откладывает передачу кадра, считая, 
что среда занята, хотя она свободна. 


Если подтверждение в получении отправленного кадра не пришло за заданное время. 
Может. 
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22; 


23. 


24. 
25. 
26. 


27. 
28. 


0. 
За счет отсчета времени с момента окончания передачи кадра. 
За счет более короткого межкадрового интервала. 


Увеличение расстояния достигается за счет уменьшения битовой скорости передачи 
данных в два раза, до 1 Мбит/с, и применения кодов ЕЕС. 


Класса 1. 
Уменьшить размер соты. 


Потому что локализация телефона происходит с точностью до области локализации, 
в которую входит несколько сот. 


Из-за небольших флуктуаций мощности сигнала телефон может слишком часто пере- 
ходить из соты в соту — эффект пинг-понга. 


Потому что номер телефона не хранится в $1М-карте, а только в домашней базе про- 
вайдера. 


160 Кбит/с. 
Два ресурсных блока. 


Для предотвращения перестройки таблиц маршрутизации в сети провайдера при пере- 
даче телефона между зонами действия разных шлюзов 5-С\\. 


ОМ, МЕУ, технология виртуальных машин. 


Преимущества: более высокая скорость передачи данных за счет более широкой по- 
лосы частотных подканалов. Недостатки: меньший размер соты. 


Ответы к части УП 


1. 


2. 


З. 
4. 
5. 


ЗМТР 


Варианты б), в), е). 
Варианты а), в), г). 


Варианты а), г). 


Ответы 977 


6. 
7. 
8. 


Вариант б). 
Вариант б). 
Варианты а), д). 


Ответы к части МІ 


Пользователи 


Прикладные процессы 


СЕ 
СЕИ СЗО ОО 
| Прикладные процессы + | 
СИ СЗО ПО 
С 
Е Е 


1. 


Пропускная способность 
каналов связи 
Сетевые сервисы 


а: 


«Пользователи получают права доступа к ресурсам ИС в результате авторизации, 
однако прежде им необходимо успешно пройти идентификацию и аутентификацию». 


«Стало известно, что в Интернете уже появились эксплойты, направленные на ис- 
пользование уязвимости новой версии браузера. Реализация данной угрозы может 
привести к атаке, которая нанесет ущерб нашему предприятию». 


Передача зашифрованной информации по открытому каналу. 
Аутентичность. 

1225. 

Вариант б). 

Да, с помощью алгоритма Диффи-Хеллмана. 


В зависимости от решаемых задач некоторые зоны могут быть объединены, а другие — 
разделены. 


Варианты а), д), з). 

Варианты б), г), д). 

Варианты а), б), в). 

Все варианты — а), б), в), г). 

Варианты а), 6), г), д), ж). 

Скрывает внутреннюю структуру сети. 


«Сертификат может быть представлен в форме, состоящей из трех частей: во-первых, 
открытой части; во-вторых, той же информации, зашифрованной закрытым ключом 
сертифицирующей организации; в-третьих, части, представляющей собой первые две 
части, зашифрованные закрытым ключом владельца». 


17. 


18. 
19. 
20. 
21. 
22, 
28: 
24. 
25. 
26. 
27. 
28. 
29. 
30. 
31. 
22; 


33. 
34. 
39. 
36. 
37. 
38. 
39. 
40. 
41. 
42. 
43. 
44. 
45. 
46. 
47. 
48. 
49. 
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Ущерб — ітрасё; уязвимость — ушпега Шу; вредоносное ПО — та\аге; доступ- 
ность — ауаЙа Бу; целостность — іпѓергіѓу; подмена содержимого пакета — ѕрооћпу; 
распределенная атака ООо$, отказ в обслуживании — Оеша] ої Ѕегуісе. 


Варианты б), г). 

Варианты а), в). 

100, 50 открытых и 50 закрытых ключей. 

Варианты б), г). 

Вариант в). 

Варианты а), в), г). 

Варианты а), в), г), д). 

Варианты а), б), е). 

Сначала а), затем в). 

Вариант в). 

Варианты а), с). 

Дискреционный — а), 6), в), г), е), мандатный — д), ж). 
Варианты в), г). 

ассеѕѕ-1іѕі 120 4епу ІСМР апу 145.8.146.0 0.0.0.255 ед 5. 


Разрешить прохождение через маршрутизатор пакетов хоста 93.8.25.2, запрещая пере- 
дачу пакетов, отправляемых любым другим хостом подсети 93.8.25.0/24. 


Варианты а), в), г). 
Варианты в), г). 
Варианты а), б). 

Да. 

Варианты б), в), г), д). 
Варианты а), в), г). 
Варианты в), г). 
Варианты а), б), в), г). 
Вариант б). 

Вариант в). 

Варианты а), в). 
Вариант б). 

Вариант а). 

Нет. 

Вариант б). 

Варианты а), б), в). 
Варианты а), б), в). 


Алфавитный у казатель 


10С Еһегпе 340 ВЕК 202 

100Ваѕе-ЕХ 336 ВЕРЮ 650 

100Ваѕе-Т4 336 ВЕЅК 228 

100Ваѕе-ТХ 335, 337 ВСР 508, 509 

1000Вазе-5Х 339 ВСру4 508 

А Вшесюоо 1 713 
ВРОО 349 

о ВРЗК 228 

п В55 702, 703 

АСТ, 715 

АДариуе Гоа Вајапсіпе 357 С 

а СА 845 

АН 923 СВК 151 

АМ 231 ССМ 379 

АМІ 222 о 

АР 704 СОМА 692 

АРІ 108 ССІ 775 

АРФ 267 сра!епре 838 

Атспеё 32 СНАР 614, 839 

АВР 61, 413, 792 СТОК 411, 457 

АКРАМЕТ 29 СІК 608 

АКР-запрос 414 Сіѕсо 357, 865 

АКР-кэш 417 СІМР 122 

АЗ 507 СО 587 

АЗК 296 соттипіѓу ѕігіпе 792 

АТМ 611 СОМР 122 

АМС 277 Соѕ 633 
СРУРМ 655 

В СКС 230 

Ваѕіс МАТ 882 С 314 

Вс 608 СЗМА/СА 710 

Ве 608 С$МА/СО 314 


ВЕВ 386, 388 СТХ 711 


980 


О 


ОСЕ 187 

РСЕ 709 

РЕЗ 824 
ОНСР 427 
ОНСР-агент 429 
ОТЕ$ 712 

ОГСТ 90 

ОМ 516 

О№$ 422 

Оо$ 812 

05$ 704 

ОЗГАМ 623 
ОЗР 340 

0$$5 691 

ОТЕ 187 

ОУА 495 
БУМ 248, 271 
ОХС 242 


Е-1 250 
Е-2 250 
Е-3 250 
еВСР 511 
ЕОК 717 
ЕСР 508 
ЕНЕ 672 
ЕГ.Е 672 
епсарѕшайіоп 565 
ЕРІ. 657 
ЕЗР 923 


Е егпее 32, 34, 99 


Е ВегТуре 368 
ЕУС 656 
ЕУРІ. 657 


Е 


Еаѕі ЕфегСБаппе] 357 


Еаѕі Ефегпее 32 
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ЕС95:229;313 
ЕРІ 32 
ЕОМ 188, 234 
ЕЕС 230, 632 
РЕХТ 201 
ЕН$$ 689 
ЕІМ 474 

ЕГР 335 

ЕМ 231 
ЕРСА 332 
ЕООМ 421 
Егате Ке]ау 34 
ЕЅК 226 
ЕТМ 632 
ЕТР 401 


а 


Се{-гедиезе 791 
СіваБіє ЕсһегСһапһпе] 357 
Сіра Есһегпег 32 


Н 


НрІС 613 
НТМЕ 768 
НТТР 401, 771 


ТАВ 121 
ГАМА 513 

{ВСР 511 

ІВМ 32 

ІСАММ 411 
1СМР 402, 462 
15$ 891 

ТЕЕЕ 802.10 366 
ТЕЕЕ 802.3ае 340 
ТЕТЕ 121 

ІС̧МР 513 

[СР 508 

ТКЕ 923 
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ІМАР 783 
Іпќе 357 
Пицегпее 29 
іпігапе 34 
ІР 402 
РС 315 
[Р-адрес 405 
[ВТЕ 121 
ОМ 35 
15-18 122 
ІЅМ 677 
[50 107 
І50С 121 
[5Р 589 
ІТО-Т 107 
ІХ 590 


Ј 


јат-последовательность 315 


ЈС 293 


И 


ГАМ 31, 129 
ГАР-М 621 
ГСМ 90 

ГСР 614 
ГОР 631, 638 
ГЕО 210 
ГЕК 630 
СНС 52 
ГІС 311 
ІСі 312 
Г1С2 312 
ГІСЗ 312 
5А 495, 504 
ГР 631 


МА 314 
МАС 111 


МАС -адрес 60 
МАМ 34, 129 
МЕЕ 656 
МЕР 379 
МЕЅК 228 
МІВ 789 
МП 334 
МІР 380 
МІРРР 614 
ММЕ 210 
ММР 621 
МРІ5 628 
МР 268 


М8-$РКіпр 268 


МЫТР 373 
МТО 458 


Миша іпКк Тгипкіпе 357 


МАР 590 
МАРТ 882 
МАТ 880 
МСР 614 
МевВЕСГ 123 
МесВІОЅ 123 
МЕХТ 201 
МІС 41 

№ЈО 292 
ММ 434 
ММ$ 785 

М ке] 357 


Мохе! Мес\/аге 32 


МКИГ 222 
МР 662 


О 


ОАШМ 278 
ОАМ 378 
Оро 287 
ОРО 287 


981 


982 


ОЗІ 107 
ОБЗРЕ 503 
ОТМ 248, 286 
ОТО 287 
ООІ 312 
ОҰР 144 
ОХС 280 


р 


РАМ 713 
РАР 614 
РВ 383 
РВВ 385 
РСЕ 709 
РСМ 233 
РОН 248 
РЮО 108, 792 
Регтапепі Уігіџа! Сігсиії (РУС) 604 
РНР 633 
РНҮ 334 
РІЕЅ 712 
РІМ 841 
РІК 147 
РТО 292 
РКІ 849 
РОР 587 
РОРЗ 783 
РРР 614 
РРТР 619 
РРУРМ 655 
РЗН 473 
РК 226 
РУС 604 


О 


ОАМ 228 
Оо5 36 


В 
КАКР 417 
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КЕС 121 
КЕС 1517 411 
КЕС 1518 411 
КЕС 1519 411 
КЕС 1520 411 
КЕС 1700 469 
КЕС 3232 469 
КІР 496 
КОАРм 281 
КР 516 

КРЕ 517 
ВЗА 831 

КТ 473 
КТР 347 
КУР 179 
КУР ТЕ 646 
КТР 742 
КТ 711 
КТТ 145 


$ 


ЗА 924 
ЗСО 715 
$С5 213 
Урс 621 
ОН 248 
бег 791 
5С 925 
ЗГЕЗ 712 


Зипр!е Мапаветепе Месуогк Ргоѓосо! 
(ЭММР) 791 


ЫР 741 

К 146 

ГА 135 

ЗМ 516 

МВ 124 
МЕ 210 

ЗМ 786 
ЪМТР 401, 778 
ЗМ 927 

ЪММР 791, 792 
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Рр 931 
ЅРрІ 927 
951. 117, 922 
ЅТА 327, 347 
ЅТМ 239 
ЗТР 347 
Уганит 2 252 
ЗУС 604 


Ѕуієсһеа Уігџа! Сігсиії (ЅУС) 604 


ЗУМ 473 


т 


Т-1 249 

Т-2 250 

Т-3 250 

ТСР 401 

ТСР-порт 469 

ТСР-сокет 470 

ТОМ 188, 234, 236 

ТЕ 175, 643 

{елее 401, 794 

ТЕ-туннель 643 
свободный 643 
строгий 643 

ТМ 241 

ТоКеп Виз 32 

ТоЅ 432 

Тгар 792 

Т$ 295 

ТТІ. 434, 459 

гиппеіпе 565 


О 


Орр 401 

ОРЮР -дейтаграмма 471 
ООР-порт 469 
ОБР-сокет 470 

ОМІ 656 

ОКС 473 

ОКІ. 768, 769 
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ү 


У.42 621 

УВК 152 

УСІ 90 

УГАМ 364, 791 
УРІ5 658, 663 
УРМ№ 584, 653 
УРУ\/З 658, 661 


М 


\АМ 28 
МОМ 234 
\"ЕО 164 
\УТАМ 700 
МУ. 673 
\!$$ 283 
УУУУ 34, 767 


Х 


Х.25 29 
ХСМИ 340 


А 


абонент 74 
Абрамсон Норман 308 
абсолютный уровень мощности 196 


автоматическое защитное переключение 
267 


автоматическое назначение 
динамических адресов 428 
статических адресов 428 
автономная система 507 
автопереговоры 335 
авторизация 804 
агент 791 
агрегатный порт 242 
агрегирование 
адресов 458, 544 
линий связи 355 


физических каналов 355 
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адаптер взвешенных очередей 162 
сетевой 41 Дийкстры 504 
адаптивная маршрутизация 494 динамической маршрутизации 494 
администратор 445 дистанционно-векторный 495 
адрес комбинированный 164 
ІР-адрес 405 покрывающего дерева 327, 347 
МАсС-адрес 60 приоритетного обслуживания 160 
аппаратный 60, 404 прозрачного моста 321, 347 
виртуального интерфейса 435 состояния связей 495, 645 
выходного интерфейса 437 шифрования 831 
глобальный 113 альтернативный порт 353 
групповой 59, 312, 407, 445 амплитудная манипуляция 226 
индивидуальный 312, 407 амплитудная модуляция 227, 231 
локальный 404 анализ 
назначения надежности 785 
пакета 437 производительности 785 
потока данных 63 аналоговая линия связи 188 
неопределенный 408 аналого-цифровой преобразователь 232 
обратной петли 409, 435 аппаратный адрес 60, 404 
ограниченный 408 аппаратура 
особого назначения 445 передачи данных 187 
порта 443 промежуточная 187 
произвольной рассылки 59 арбитр 71 
разрешение 60 аренда 
сетевой 113, 405 [Р-адресов 428 
символьный 59 каналов 584 
следующего маршрутизатора 437, 443 асинхронное приложение 152, 153 
уникальный 59 асинхронный канал 715 
частный 410, 880 асинхронный режим 
числовой 59 временного мультиплексирования 236 
широковещательный 59, 312, 408, 445 передачи 611 
адресация 59 атака 
иерархическая 60 отказа в обслуживании 813 
плоская 60 понятие 808 
адресная таблица 322, 323 распределенная 813 
адресное пространство 60 атакующий блок 936 
активное измерение 141 аудит 894 
активное сопротивление 200 аутентикод 850 
алгоритм аутентификация 792 
адаптивной маршрутизации 494 данных 803 


ведра маркеров 168 пользователя 803 
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приложений 804 

строгая 838 

устройств 804 
АЦП 232 


база данных 

безопасных ассоциаций 930 

политики безопасности 931 

управляющей информации 789 
базовая трансляция сетевых адресов 882 
базовый набор услуг 702 


байт дифференцированного обслуживания 
432 


баланс нагрузки 87, 362 

Баркера последовательность 691 
бастион 896 

безопасная ассоциация 924 
безопасность транспортных услуг 134 


бесклассовая междоменная маршрутизация 
411, 457 


беспроводная локальная сеть 700 
беспроводная связь 

мобильная 671 

фиксированная 671 
беспроводная сеть 130 


биполярное кодирование с альтернативной 
инверсией 222 


биполярный импульсный код 222 
БИС 30 
бит 
кодовый 473 
битовая скорость 
передатчика 202 
переменная 152 
постоянная 151 
битовый интервал 336 
бит синхронизации 249 
бит-стаффинг 250 
блок 
атакующий 936 
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данных оптического канала 287 
поиска целей 936 


пользовательских данных оптического 
канала 287 


транспортный оптического канала 287 
управления 
жизненным циклом 938 
удаленного 938 
фиксации событий 938 
бод 205 
большая интегральная схема 30 
большой адронный коллайдер 52 
брандмауэр 868 
браузер 769 
буфер 85 
буферная память 85 
быстрое расширение спектра 690 


быстрый протокол покрывающего дерева 
347 


вариация задержки пакета 144 
веб-браузер 46 
веб-документ 767 
веб-клиент 769 
веб-сервер 770 
веб-страница 767 
ведро маркеров 168 
вектор атаки 936 
величина пульсации 147 
дополнительная 608 
согласованная 608 
вероятность отказа 148 
вертикальная подсистема 213 
вертикальный контроль по паритету 230 
взаимодействие 
межсетевое 112 
взаимодействие открытых систем 107 
взвешенная очередь 162 
взвешенное обслуживание 162, 164 
ВЗГ 252 
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видимый свет 673 
виртуальная локальная сеть 364 
виртуальная частная линия Еёћегпе 657 
виртуальная частная сеть 584, 653 

поддерживаемая 

клиентом 655 
поставщиком 655 

виртуальное соединение 656 
виртуальный канал 90 
вирус 938 
витая пара 

категории 3 204 

неэкранированная 207 

понятие 207 

экранированная 186, 207 
внешний шлюз 507 
внешний шлюзовой протокол 508 
внешняя угроза 809 
внутренний шлюзовой протокол 508 
внутренняя помеха 200 
возможность 

отрицательного выравнивания 292 

положительного выравнивания 292 
волновое мультиплексирование 234, 236 

уплотненное 271 
волновое сопротивление 199 
волокно 

выделенное 593 

многомодовое 210 

одномодовое 210 

оптическое 593 

темное 593 
волоконно-оптический кабель 186, 209 
вредоносная программа 814 


временное мультиплексирование 188, 234, 


236 

асинхронный режим 236 

синхронный режим 236 
время 

буферизации 94 


жизни 
записи 445 
маршрута 494, 499 
пакета 434, 445, 459 
коммутации пакета 136 
конвергенции 494 
наработки на отказ 148 
оборота 144, 145, 316, 491 
ожидания пакета в очереди 136 
пакетизации 96 
передачи 
данных в канал 136 
сообщения 94 
распространения сигнала 94, 136 
реакции сети 144, 145 
сериализации 136 
Всемирная паутина 767 
вторжение 891 
вторичный задающий генератор 252 
входная очередь 85 
входной буфер 85, 97 
выборка случайной величины 139 
выделенный сервер 49 
выравнивание 
заголовка пакета 434 
отрицательное 292 


положительное 292 


высокоуровневое управление линией связи 


613 
выходная очередь 85 


г 


гармоника 
основная 190 

генератор 
вторичный 252 
задающий 252 
первичный 251 
эталонный 251 

гиперссылка 768 
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гипертекстовая информационная служба 
34 


гипертекстовая страница 768 
гистограмма распределения 139 
главное устройство 714 
глобальная метка потока 64 
глобальная сеть 28, 129, 187 
глобальный адрес 113 
горизонтальная подсистема 213 
горизонтальный контроль по паритету 230 
городская сеть 34, 129 

Гроша закон 28 

группирование МАС-адресов 367 
групповое вещание 511 
групповой адрес 59, 312, 407, 445 


д 


дайджест 832 

двоичная фазовая манипуляция 228 
двоичная частотная манипуляция 228 
двоичный код 52 


двунаправленное обнаружение ошибок 
продвижения 650 


двухточечный протокол туннелирования 
619 


деградация системы 149 
дейтаграмма 404 

понятие 108 
дейтаграммная передача 86 
дейтаграммная сеть 130 
дейтаграммный протокол 402 
декомпозиция 

иерархическая 102 

понятие 102 
демультиплексирование 69, 468 
демультиплексор 70, 187 
дерево 58 

разделяемое 517 

с вершиной в источнике 517 
децибел 194 


987 


дешифрирование 822 
джиттер 144 
диапазон 
инфракрасный 673 
микроволновый 673 
Дийкстры алгоритм 504 
динамическая запись 323, 417 
динамическая маршрутизация 494 
динамическая страница 774 
динамическая фрагментация 458 
динамический номер порта 469 


динамический способ распределения 
кадров 362 


ДИОД 

лазерный 210 

светоизлучающий 210 
дискретизация 233 

по времени 76, 232 

по значениям 76, 232 
дискретная модуляция 232 
дистанционно-векторный алгоритм 495 
дифракционная структура 277 
дифракционная фазовая решетка 277 
дифракция 674 
дифференцированное обслуживание 432 
длина пульсации 338 
долговременное соединение 771 
долговременные характеристики сети 135 
доля потерянных пакетов 148 
домен 

группового вещания 516 

имен 420 

коллизий 329 

широковещательного трафика 365 
доменная система имен 419 
доменное имя 405, 419, 421 
дополнительная величина пульсации 608 
достоверность передачи данных 202 
доступ 

коллективный 314 
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маркерный 310 
случайный 310 
терминальный 794 
доступность 148 
драйвер 
переферийного устройства 41 
сетевой интерфейсной карты 41 
древовидная топология 130 
дуплексный канал 55 
дуплексный режим 
коммутатора 329 


емкость канала связи 54, 202 


З 


заголовок 
аутентификации 551, 923 
вставка 633 
маршрутизации 551 
основной 550 
пакета 82 
системы безопасности 592 
фрагментации 551 
задержка 
доставки пакета 140 
квантиль 141 
коэффициент вариации 140 
медиана 140 
пакетизации 611 
процентиль 141 
среднее значение 140 
стандартное отклонение 140 
закон 
Гроша 28 
закрытый ключ 830 
замораживание изменений 503 
запись 
динамическая 323, 417 
статическая 323, 417 
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запрещенный код 223 
запрос 
понятие 78 
затопление сети 324 
затухание 
погонное 195 
понятие 194 
защита 
1:1 268 
1+1 267 
1:М№ 268 
линии 651 
мультиплексной секции 268 
пути 652 
узла 652 
защищенный канал 919 
защищенный протокол ІР 554 
звезда 58 
звездообразная топология 58, 130 
звено 184 
зеркализация 
порта 143 


идентификатор 
виртуального канала 90 
запроса 467 
интерфейса 544 
организационно уникальный 312 
пакета 433, 459 
соединения 90 
иерархическая адресация 60 
иерархическая декомпозиция 102 
иерархическая звезда 58 
иерархия скоростей 250 
избыточный код 223 
измерение 
активное 141 
пассивное 143 
изохронное приложение 152 
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импульсно-кодовая модуляция 233, 249 
импульсный способ кодирования 53 
ИМЯ 
О№ -имя 405 
доменное 405 
краткое 421 
относительное 421 
полное 421 
плоское 419 
символьное 405 
индекс параметров безопасности 927 
индивидуальный адрес 312, 407 
индивидуальный клиент 583 
инжиниринг 
социальный 812 
трафика 175, 643 
инкапсуляция 565 
интегрированное обслуживание 611 
интегрируемость сети 150 
интенсивность 
битовых ошибок 202 
отказов 148 
интерактивное приложение 152 
интервал 
битовый 336 
межпакетный 315 
отсрочки 336 
Интернет 35 
интерфейс 
доступа к гигабитной среде 340 
логический 41 
межуровневый 104 
независимый от среды 334 
понятие 41 
прикладной программный 108 
сетевой 59 
услуг 104 
физический 41 
шлюзовой 775 
интерфейсная карта 41 
инфокоммуникационная сеть 126 
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информационные услуги 125 
информационный поток 63, 403 
инфракрасные волны 673 
инфракрасный диапазон 673 


инфраструктура с открытыми ключами 
849 


истечение времени жизни маршрута 499 


К 


кабель 41 
волоконно-оптический 186, 209 
категории 5 208 
категории 6 208 
категории 7 208 
коаксиальный 186, 209 
медный 186 
многомодовый 210 
одномодовый 210 
симметричный 207 
телевизионный 209 

кабельная линия связи 186 

кадр 404 
ЭТМ-М 259 
положительной квитанции 710 
помеченный 369 
понятие 108 
продвижение 323 

канал 235 
асинхронный 715 
виртуальный 90 
дуплексный 55 
не ориентированный на соединение 715 
ориентированный на соединение 715 
полудуплексный 55 
понятие 75, 184 
присоединения 662 
связи 41 
симплексный 55 
синхронный 715 
составной 77, 184 
спектральный 271 
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тональной частоты 226 
элементарный 75, 76, 233 
канальный уровень 111 
качество обслуживания 36 
квадратурная амплитудная модуляция 228 
квадратурная фазовая манипуляция 228 
квантиль 141 
квитанция 54 
квитирование 478 
КВК 604 
Керкхоффса правило 823 
класс 
ІР-адресов 
О 407 
адресов 406 
Е 408 
транспортного сервиса 116 
услуги 633 
эквивалентности продвижения 632 
классификация 
компьютерных сетей 129 
критерии 129 
трафика 161 
клиент 
индивидуальный 583 
корпоративный 9583, 584 
массовый 984 
понятие 46 
почтовый 776 
клиентская операционная система 49 
КЛЮЧ 
закрытый 830 
открытый 823, 829 
секретный 822, 841 
коаксиальный кабель 186, 209 
толстый 209 
тонкий 209 
код 
4В/5В 223, 334 
8В/6Т 224 
АМІ 222 
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В815 224 
НОВЗ 224 
МКА 220 
биполярный импульсный 222 
двоичный 52 
запрещенный 223 
избыточный 223 
манчестерский 222 
решетчатый 229, 231 
самосинхронизирующийся 220 
сверточный 231 
Хемминга 231 

кодирование 
без возвращения к нулю 220 


биполярное с альтернативной инверсией 
222 


импульсный способ 53 

линейное 204 

понятие 52 

потенциальный способ 53 

физическое 204 
кодовый бит 473 
коллективный доступ 314 
коллизия 315 

обнаружение 315 

распознавание 316 
кольцевая топология 58, 130 
кольцо 98 

ЗОН 254 

плоское 254 
комбинированное обслуживание 164 
коммуникационное облако 46 
коммутатор 187 

3-го уровня 366 

корневой 348 

неблокирующий 330 

пакетный 85 

пограничный 386 

понятие 67, 68 

фотонный 280 
коммутационная сеть 68 
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коммутация 
интерфейсов 67 
каналов 36, 74, 117 
многопротокольная 628 
пакетов 36, 74, 82, 117 
по меткам 631 
понятие 61, 68 


коммутируемый виртуальный канал (КВК) 
604 


коммутирующий блок 85 


коммутирующий по меткам маршрутизатор 


630 
компьютер-бастион 896 
компьютерная сеть 25, 44 
компьютерный трафик 82 
конвейерная передача 771 
конвергенция 494 


конвергенция телекоммуникационных и 
компьютерных сетей 35 


кондиционирование трафика 155 
конечная точка обслуживания 379 
контент 870 
контролируемый период 712 
контроллер 41 
контроль 
допуска в сеть 172 
по паритету 229 
вертикальный 230 
горизонтальный 230 
расходования ресурсов 134 
циклический избыточный 230 


контрольная последовательность кадра 
229, 313 


контрольная сумма 54, 101, 229 
заголовка 434 
пакета 82 
конфигурационный параметр 427 
конфигурирование 427 
концевик 82 
концентратор 187, 318 
понятие 38 


корневой коммутатор 348 
корпоративная сеть 131 
корпоративный клиент 583, 584 
коррекция ошибок 
прямая 230 
коэффициент 
вариации 140 
пульсации трафика 147 
расширения 692 
кратковременное соединение 771 
краткое доменное имя 421 
краткосрочные характеристики сети 135 
кратчайший маршрут 175 
криптосистема 
ассимметричная 829 
понятие 822 
раскрытие 822 
криптостойкость 823 
критерий 
выбора маршрута 433 
классификации 129 


Л 


лавинная маршрутизация 493 
лазерный диод 210 
линейное кодирование 204 
ЛИНИЯ 
доступа 370 
связи 53, 184 
аналоговая 188 
воздушная 185 
кабельная 186 
проводная 185 
создание 41 
цифровая 188 
линия связи 33 
лицензия 677 
логический интерфейс 41 
логическое соединение 88, 475 
локализация адресов 458 
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локальная метка потока 64 маршрутизация 68 

локальная сеть 31, 129 адаптивная 494 

локальная таблица коммутации 79 динамическая 494 

локальное приложение 49 лавинная 493 

локальный адрес 404 от источника 493 

локальный оператор 586 статическая 494 

локальный поставщик услуг 589 маршрутизируемый протокол 115 
локальный признак потока 79 маршрутизирующий протокол 115 
локальный способ назначения адреса 312 маска 406, 409, 450 

лямбда 271 двоичная запись 406 


понятие 406 


М массовый клиент 984 
магистральная сеть 131 масштабируемость сети 149, 400 
магистральный поставщик услуг 589 медленное расширение спектра 690 
магнитная связь 201 медный кабель 186 
максимальная скорость передачи 170 межпакетный интервал 315 
манипуляция межсетевое взаимодействие 112 
амплитудная 226 межсетевой протокол 402 
фазовая 226 межсимвольная интерференция 676 
двоичная 228 межуровневый интерфейс 104 
квадратурная 228 менеджер 
частотная 226 протоколов 563 
двоичная 228 метка 
многоуровневая 228 потока 90 
четырехуровневая 228 глобальная 64 
манчестерский код 222 локальная 64 
маркерный доступ 310 Меткалф Роберт 309 
маршрут метод 
временный 445 инжиниринга трафика 155, 175, 176 
кратчайший 175 кондиционирования трафика 155 
понятие 61 контроля перегрузок 135 
постоянный 445 маркерного доступа 310 
по умолчанию 438 обратной связи 155 
специфический 438, 445 предотвращения перегрузок 135 
статический 445 простоя источника 479 
маршрутизатор 68 скользящего окна 481 
коммутирующий по меткам 630 случайного доступа 310 
пограничный 630 метрика 348 
по умолчанию 438 понятие 65 


программный 442 производительности сети 138 
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механизм 

управления перегрузкой 154 
микроволновая система 673 
микроволновый диапазон 673 
миникомпьютер 31 
минимальная таблица маршрутизации 445 
многоканальный протокол РРР 614 
многолучевое замирание 676 
многолучевое распространение сигнала 676 
многомодовое оптическое волокно 210 
многомодовый кабель 210 
многопортовый повторитель 318 


многопротокольная коммутация по меткам 
628 


многотерминальная операционная система 


29 


многотерминальная система разделения 
времени 27 


многоуровневая частотная манипуляция 
228 


многоуровневый подход 102 


множественный доступ с кодовым 
разделением 692 


множественный протокол покрывающего 
дерева 373 


мобильная беспроводная связь 671 
мобильная компьютерная сеть 672 
мобильная телефония 670 
мода 210 
модель 
взаимодействия открытых систем 107 
модем 187, 226 
модуляция 53 
амплитудная 227, 231 
квадратурная 228 
дискретная 232 
импульсно-кодовая 233, 249 
понятие 204 
фазовая 227, 228 
частотная 228, 231 
мост 
локальной сети 320 


понятие 320 
провайдера 383 
прозрачный 321 
мультиплексирование 69, 469 
волновое 234, 236, 248 
уплотненное 271 
временное 188, 234, 236 
уплотненное 248 
частотное 188, 234 
мультиплексная секция 253 
мультиплексор 70, 187, 242 
доступа 623 
мультиплексор протоколов 563 
мультисервисная сеть 35 
мэйнфрейм 26 


Н 


набор 
услуг 
базовый 702 
наведенный сигнал 201 
наводка 200 
перекрестная 201 
понятие 201 


надежность транспортных услуг 134 


назначение 
динамических адресов 428 
статических адресов 
автоматическое 428 
ручное 427 


Найквиста- Котельникова теорема 233 


Найквиста теория 233 
Найквиста формула 206 
наложенная сеть 131, 184 
национальный оператор 587 
начальное число 689 


неблокирующий коммутатор 330 


недогруженная сеть 155 
недогруженный режим 178 


независимый от среды интерфейс 334 


неопределенный адрес 408 
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неполносвязная топология 57 ограниченная широковещательная 
неразборчивый режим 313, 322 рассылка 408 
несущая частота 314 ограниченный широковещательный адрес 


408 
ограничитель начала кадра 314 


несущий протокол 565 


неумышленная угроза 809 


одномодовое оптическое волокно 210 
неэкранированная витая пара 207 А А 


номер одномодовый кабель 210 


версии протокола 432 одноразовый пароль 840 


одноранговая операционная система 49 
порта днӨр ран 


динамический 469 односторонняя задержка пакетов 144 


назначенный 469 односторонняя функция 826 


стандартный 469 окно 
хорошо известный 469 приема 488 
сети 405 прозрачности 195 


узла в сети 405 скользящее 481 


оконечное оборудование данных 187 


о оператор 


локальный 586 


область сети 505 национальный 9587 


обнаружение коллизии 315 операторов 586 


обнаружение ошибок 229 региональный 587 


обновление триггерное 502 связи 581 


обработка ошибок 785 транснациональный 587 


4 
обратная зона 426 операционная система 


обратная петля 409 клиентская 49 


обратная связь 155 компьютера 47 


обслуживание многотерминальная 29 


взвешенное 162, 164 одноранговая 49 


дифференцированное 432 серверная 49 


интегрированное 611 сетевая 29. 47 


комбинированное 164 оптическая транспортная сеть 248, 286 


приоритетное 160 оптический кросс-коннектор 280 


справедливое 164 оптоэлектронный кросс-коннектор 280 


общая длина пакета 433 организационно уникальный 


общая среда передачи данных 308 идентификатор 312 
общая шина 58, 99 основная гармоника 190 
общий шлюзовой интерфейс 775 основной заголовок 550 
объединение подсетей 457 особый [Р-адрес 445 
объявление отказ 

о расстоянии 495 в обслуживании 813 


о состоянии связей сети 504 в установлении соединения 80 
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отказоустойчивость 149 
открытая система 118 

открытая спецификация 118 
открытый ключ 823, 829 
относительное доменное имя 421 


относительный коэффициент 
использования 164 


относительный уровень мощности 196 
отрицательное выравнивание 292 
очередь 

взвешенная 162 

входная 85 

выходная 85 

повторной передачи 490 

приоритетная 160 


Пп 


пакет 82, 404 
понятие 108, 113 
пакетный коммутатор 85 
пакетный метод коммутации 36 
память 
буферная 85 
параметры 
логического соединения 88 
получателя 551 
пароль 
одноразовый 840 
пассивное измерение 143 
ПВК 604 
первичная сеть 131, 184, 240 
первичный эталонный генератор 251 
перегрузка 
контроль 135 
предотвращение 135 
признак 170 
управление 154 
передача 
голоса 30 
дейтаграммная 86 
конвейерная 771 


995 


последовательная 771 

с простоями 771 

с установлением 

виртуального канала 90 
логического соединения 88 

эстафетная 723 
перекрестная наводка 

на ближнем конце 201 

на дальнем конце 201 
переменная битовая скорость 152 
период 

контролируемый 712 
персональная сеть 713 
персональный компьютер 32 
петля 325 
пиковая скорость передачи данных 147 
пикосеть 714 
пилотный сигнал 694 
планирование 

расходования ресурсов 134 

сети 150 
плезиохронная цифровая иерархия 248 
плоская адресация 60 
плоское имя 419 
плоское кольцо 254 
плотный режим 516 
повторитель 187 

многопортовый 318 
погонное затухание 195 
пограничный коммутатор 386 
пограничный маршрутизатор 630 
пограничный шлюзовой протокол 508, 509 
поддомен 420 
подпоток 63 
подсистема 

вертикальная 213 

горизонтальная 213 

кампуса 213 
подчиненное устройство 714 
покрывающее дерево 327, 347 
поле 
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данных 313 
источника 445 


контрольной последовательности Кадра 


313 
полное доменное имя 421 
полносвязная топология 57, 130 


полностью оптический кросс-коннектор 
280 


положительная квитанция 710 
положительное выравнивание 292 
полоса пропускания 198 
полудуплексный канал 55 
полудуплексный режим 

коммутатора 329 
полупроводниковый лазер 210 
пользовательский слой 128 
пользовательский фильтр 325, 354 
помеха 

внутренняя 200 
помехоустойчивость 201 
помеченный кадр 369 
порог чувствительности приемника 197 
порт 41 

ТСР-порт 469 

ОБР-порт 469 

агрегатный 242 

альгернативный 353 

доступа 370 

приложения 469 

резервный 353 

трибутарный 242 
порядковый номер запроса 467 
последовательная передача 771 
последовательность 

Баркера 691 


псевдослучайной перестройки частоты 
689 


расширяющая 691 
поставщик услуг 
Интернета 589 


локальный 589 
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магистральный 589 
региональный 589 
постоянная битовая скорость 151 
постоянный виртуальный канал (ПВК) 604 
потенциальный код 
МКИ 220, 226 
без возвращения к нулю 220 
с инверсией при единице 222 
потенциальный способ кодирования 53 
поток 
байтов 472 
данных 63, 403 
информационный 63, 403 
потоковый трафик 151 
почтовый клиент 776 
почтовый сервер 776 
преамбула 314, 317 
предложенная нагрузка 54, 136 
предотвращение 
перегрузки 154 
преобразователь 
аналого-цифровой 232 
цифро-аналоговый 232 
префикс 457 
формата 542, 543 
признак 
непосредственно подключенной сети 444 
перегрузки 170 
прикладной программный интерфейс 108 
прикладной уровень 400 
приложение 
асинхронное 152, 153 
изохронное 152 
интерактивное 152 
локальное 49 
сверхчувствительное к задержкам 153 
сетевое 
распределенное 51 
централизованное 51 
синхронное 153 


с потоковым трафиком 151 
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с пульсирующим трафиком 152 

устойчивое к потере данных 153 

чувствительное к потере данных 153 
приоритет 

пакета 432 

понятие 161 
приоритетная очередь 160 
приоритетное обслуживание 160 
проблема последней мили 615 
провайдер 589 
проверка непрерывности соединения 379 
проводная сеть 130 
программа 

вредоносная 814 

троянская 935 

шпионская 814 


программное обеспечение стека ТСРЛР 
445 


программный маршрутизатор 442 
продвижение 

по реверсивному пути 517 
продвижение кадра 323 
прозрачный мост 321 
производительность 

транспортных услуг 134 
прокси-сервер 

понятие 877 

прикладного уровня 879 
промежуточная аппаратура 187 
промежуточная точка обслуживания 380 
пропускная способность 54, 202 
простой источника 479 
простой протокол 

передачи почты 401 
простой протокол передачи почты 778 
протокол 

Ртоху-АКР 417 

аутентификации 

по квитированию вызова 614 
по паролю 614 
верхнего уровня 434 
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взаимодействия приложений 43 


двунаправленного обнаружения ошибок 
продвижения 650 


двухточечной связи 614, 839 
дейтаграммный 402 


динамического конфигурирования хостов 
427 


доступа 
к линии связи для модемов 621 
доступа к электронной почте 783 
инициирования сеанса 741 
инкапсуляции 565 
как логический интерфейс 41 
коррекции ошибок 621 
маршрутизации 115, 445 
группового вещания 513 
маршрутизируемый 115 
маршрутной информации 496 
межсетевой 402 


межсетевых управляющих сообщений 
402, 462 


ориентированный 

на передачу 779 

на прием 779 
пассажир 565 
передачи 

гипертекста 401, 771 

почты 401, 778 

файлов 401 
покрывающего дерева 

быстрый 347 

классический 347 

множественный 373 
пользовательских дейтаграмм 401 
понятие 106 
почтового отделения 783 
разрешения адресов 60, 61, 413 
распределения меток 631, 638 
реального времени 742 
резервирования ресурсов 179 
сжатия синхронных потоков данных 621 


998 


сигнальный 631 
туннелирования 619 
управления 
линией связи 614 
передачей 401 
сетью 614 
ШЛЮЗОВОЙ 
внешний 508 
внутренний 508 
пограничный 508, 509 
эмуляции терминала 401 


протокол канального уровня 118 


протокольная единица данных 108, 349 


профилирование 165 
профиль 715 
процедура 
разрешения имени 
рекурсивная 425 
установления соединения 78 
процентиль 141 
процессор 
цифрового сигнала 340 
прямая коррекция ошибок 230 


прямое последовательное расширение 
спектра 691 


псевдоканал 658 
пул адресов 429 
пульсация 338 
пульсирующий трафик 81 
путь 

коммутации по меткам 631 
ПЭГ 251 


р 


радиодиапазон 672 
радиоканал 186 
разделение 
времени 69 
на подсети 457 
ресурсов 40 
частотное 69 
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разделяемая среда 71 
разделяемое дерево 517 
размер окна 481 
разрешение адреса 60 
разряженный режим 516 
распознавание коллизий 316 
распределение кадров 

динамический способ 362 

статический способ 362 
распределенная атака 813 
распределенная система 704 
распределенное приложение 51 
распределенный режим 709 
рассредоточенная сеть 715 
расстояние Хемминга 231 
рассылка 

ограниченная 408 

широковещательная 408 
расширение 338 
расширение спектра 

быстрое 690 

медленное 690 

прямое последовательное 691 


скачкообразной перестройкой частоты 


689, 727 
расширенный интерфейс 340 
расширенный спектр 21, 669, 688 
расширяемость сети 149 
расширяющая последовательность 691 
расщепление горизонта 502, 665 


реверсивный протокол разрешения адресов 
417 


регенераторная секция 253 
регенератор сигнала 187, 242 
региональный оператор 587 
региональный поставщик услуг 589 
режим 
аутентификации 615 
дуплексный 329 
неблокирующий 331 
недогруженный 178 
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неразборчивый 313, 322 
передачи 
асинхронный 611 
перераспределения 507 
плотный 516 
полудуплексный 329 
пульсаций 338 
разряженный 516 
распределенный 709 
терминального доступа 794 
транспортный 925 
туннельный 925 
удаленного управления 794 
централизованный 709 
режим передачи 
синхронный 239 
режим перераспределения маршрутов 507 
резервирование 
пропускной способности 171 
ресурсов 171 
резервная связь 327 
резервный порт 353 
рекомендуемый стандарт 187 
рекурсивная процедура разрешения имени 
425 
ресурсы 
контроль расходования 134 
планирование расходования 134 
разделение 40 
ретрансляционный участок 436 
решетчатый код 229, 231 


ручное назначение статических адресов 427 


С 


самосинхронизирующийся код 220 
сверточный код 231 

сверхвысокая частота 672 
сверхнизкая частота 672 

световод 210 

светодиод 210 

светоизлучающий диод 210 


999 


свободный ТЕ-туннель 643 
связной агент 429 
СВЯЗЬ 
магнитная 201 
наземная 186 
резервная 327 
спутниковая 186 
электрическая 201 
сеансовый уровень 116 
сегмент 348, 403, 472 
локальной сети 320 
понятие 108 
секретный ключ 822, 841 
секция 
мультиплексная 253 
регенераторная 253 
сервер 
выделенный 49 
имен 61 
маршрутов 494 
понятие 46 
почтовый 776 
сетевой 32 
серверная операционная система 49 
сертификат 845 
сетевая интерфейсная карта 41 
сетевая операционная система 29, 47 
сетевая служба 46 
сетевая технология 32 
сетевой адаптер 41 
сетевой адрес 113, 405 
выходного интерфейса 437 
следующего маршрутизатора 437 
сетевой интерфейс 59, 656 
сетевой монитор 434 
сетевой протокол Місгосот 621 
сетевой сервер 32 
сетевой уровень 112, 402 
сетевой червь 935 
сетевой экран 
прикладного уровня 874 


1000 


сеансового уровня 873 
сетевого уровня 873 
с фильтрацией пакетов 873 
сеть 

агрегирования трафика 131 
беспроводная 130, 700 
виртуальная 364, 653 
глобальная 28, 129, 187 
городская 34, 129 
дейтаграммная 130 
доступа 131 
затопление 324 
интегрируемость 150 
инфокоммуникационная 126 
коммутационная 68 
компьютерная 25, 44, 672 
корпоративная 131 
локальная 31, 129, 364 
магистральная 131 
масштабируемость 149 
мегаполиса 34, 129 
мобильная 672 
мультисервисная 35 
на базе 

виртуальных каналов 130 

логических соединений 130 
наложенная 131, 184 
недогруженная 155 
оператора связи 130 
оптическая 248, 286 
первичная 131, 184, 240 
передачи данных 25, 35 
персональная 713 
планирование 150 
проводная 130 
рассредоточенная 715 
расширяемость 149 
с базовым набором услуг 702 


с избыточной пропускной способностью 


155 
с интегрированным обслуживанием 35 
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с коммутацией 
каналов 130 
пакетов 130 

совместимость 150 

составная 112 

телефонная 28, 184 

транспортная 248, 286 

управляемость 150 

частная 653 
сигнал 

наведенный 201 

пилотный 694 

стартовый 43 

стоповый 43 
сигнальный протокол 631 
символьное имя 405 
символьный адрес 59 
симметричный кабель 207 
симплексный канал 55 
синхронизация 

передатчика и приемника 220 


синхронизация передатчика и приемника 
54 


синхронная цифровая иерархия 248 
синхронное приложение 153 
синхронный канал 715 
синхронный режим 
временного мультиплексирования 236 
передачи 239 
система 
Т-каналов 250 
автономная 507 
беспроводных абонентских окончаний 


673 
видимого света 673 
доменных имен 422 
имен 419 
инфракрасных волн 673 
кабельная 213 
микроволновая 673 
многотерминальная 27 
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обнаружения вторжений 891 
открытая 118 
пакетной обработки 26 
разделения времени 27 
распределенная 704 
управления 
сетью 785 
системой 786 
шифрования 830, 831 
скользящее окно 481 
скорость 
битовая 202 
передачи данных 55, 146 
пиковая 147 
предложенной нагрузки 55 
согласованная 608 
средняя 146 
скрытый терминал 702 
слово-вызов 838 
слой 
защищенных сокетов 117 
менеджмента 128 
пользовательский 128 
управления 128 
слот 
трибутарный 295 
служба 
каталогов 46 
печати 46 
сетевая 46 
справочная 46 
случайный доступ 310 
смешанная топология 958, 130 
смещение фрагмента 433 
сниффер 814 
совет по архитектуре Интернета 121 
совместимость сети 150 
согласованная величина пульсации 608 
согласованная скорость передачи данных 608 


соглашение об уровне обслуживания 135, 
785 
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соединение 
долговременное 771 
кратковременное 771 
логическое 88, 475 
отказ в установлении 80 
установление 78 

сокет 470 

сообщение 43, 94, 791 
понятие 108 


проверки непрерывности соединения 
379 


сообщество Интернета 121 
сопротивление 

активное 200 

волновое 199 
составная сеть 112 
составной канал 77, 184 
сота 719 
сохранение с продвижением 85 
социальный инжиниринг 812 
спектр 

кодов 226 

расширенный 21, 669, 688 

сигнала 190, 217 
спектральный канал 271 
спектр сигнала 219 
спецификация 

открытая 118 
специфический маршрут 438, 445 
список 

доступа 354, 865 
справедливое обслуживание 164 
спутниковая связь 186 
среда 

разделяемая 71 
среднесрочные характеристики сети 135 
средняя скорость 

передачи данных 146 
срок аренды 428 
стадия 


прослушивания 351 


1002 


стандарт 
комитетов и объединений 120 
международный 120 
национальный 120 
отдельных фирм 120 
рекомендуемый 187 
сжатия данных 621 

стандартная сетевая технология 32 


стандартная топология физических связей 
309 


стандартный назначенный номер порта 


469 
стартовый сигнал 43 
статистическая оценка 140 
статическая запись 323, 417 
статическая маршрутизация 494 
статическая страница 774 
статический маршрут 445 


статический способ распределения кадров 
362 


стек 
ТСР/ІР 124 
коммуникационных протоколов 106 
меток 634 
стек коммуникационных протоколов 108 
стоповый сигнал 43 
страница 
гипертекстовая 768 
динамическая 774 
статическая 774 
строгая аутентификация 838 
строгий ТЕ-туннель 643 
структурированная кабельная система 213 
схема 
автопереговоров 335 
сшивание путей 636 


т 


таблица 
адресная 322, 323 
коммутации 66, 68, 86, 91 


Алфавитный указатель 


кросс-соединений 267 
маршрутизации 68, 114, 436 
минимальная 445 
формирование 445 
продвижения 323, 630 
соответствия адресов 61 
фильтрации 323 
тайм-аут 500 
доставки 116 
квитанции 491 
такт 204 
тег 
виртуальной локальной сети 368 
языка разметки 768 
телевизионный кабель 209 
телефонная сеть 28, 184 
телефонные услуги 582 
тема для обсуждения 121 
темное волокно 593 
теорема 
Найквиста-Котельникова 233 
теория 
автоматического управления 169 
Найквиста 233 
очередей 156 
терминал 
скрытый 702 
терминальный доступ 794 
техника 
расширенного спектра 21, 669, 688 
технология 


бесклассовой междоменной 
маршрутизации 411, 457 


межсетевого взаимодействия 112 
сетевая 32 


цифровых сетей с интегрированным 
обслуживанием 35 


тип сервиса 432 
толстый коаксиальный кабель 209 
тонкий коаксиальный кабель 209 


тонкопленочный фильтр 276 


Алфавитный указатель 


топология 
древовидная 58, 130 
звездообразная 58, 130 
кольцевая 58, 130 
неполносвязная 57 
полносвязная 57, 130 
понятие 56 
смешанная 58, 130 
ячеистая 58, 255, 280 
точка 
встречи 516 
доступа 704 
обслуживания 
конечная 379 
промежуточная 380 
присутствия 587 
рандеву 516 
традиционная технология МАТ 881 
транк 356, 370 
трансляция 
протоколов 564 
сетевых адресов 880 
трансляция сетевых адресов 
базовая 882 
двойная 885 
и портов 882 
транснациональный оператор 587 
транспондер 593 
транспортное средство 47 
транспортные услуги 125 
безопасность 134 
надежность 134 
производительность 134 
транспортный блок оптического канала 287 
транспортный режим 925 
транспортный уровень 116, 401 
трафик 128 
инжиниринг 155, 175, 176 
классификация 161 


компьютерный 82 


1003 


кондиционирование 155 
неравномерный 93 
потоковый 151 
профилирование 165 
пульсирующий 81 
формирование 166 
эластичный 152 
трибутарный порт 242 
трибутарный слот 295 
триггерное обновление 502 
троянская программа 935 
туннелирование 565 


туннельный режим 925 


У 


угроза 
внешняя 809 
неумышленная 809 
понятие 808 
умышленная 809 
удаление метки на предпоследнем хопе 633 
удаленное управление 794 
узкое место составного пути 55 
указатель 261 
срочности 492 
улучшенная скорость передачи данных 717 
умышленная угроза 809 
уникальный адрес 59 
унифицированный указатель ресурса 768 


уплотненное волновое 
мульгиплексирование 248, 271 


управление 
безопасностью 786 
выравниванием 293 
доступом к среде 111, 310 
конфигурацией сети и именованием 785 
логическим каналом 311 
очередями 155 
перегрузкой 154 
управляемость сети 150 


1004 


уровень 
интернета 402 
канальный 111 
линии 253 
мощности 

абсолютный 196 
относительный 196 

представления 116 
прикладной 400 
сеансовый 116 
секции 253 
сетевой 112, 402 
сетевых интерфейсов 402 
согласования 334 
тракта 253 
транспортный 116, 401 
физический 110 
фотонный 253 

усилитель 187 

услуги 


виртуальной частной локальной сети 
663 


информационные 125 

компьютерных сетей 583 

телефонные 582 

транспортные 125 
установление логического соединения 88 
устройство 

главное 714 


для подключения к цифровым каналам 


187 
компенсации дисперсии 280 
подчиненное 714 
физического уровня 334 
учет работы сети 786 


Ф 


фазовая манипуляция 226 
фазовая модуляция 227, 228 
файервол 868 


Алфавитный указатель 


физический интерфейс 41 
физический уровень 110 
физическое кодирование 204 
фиксированная беспроводная связь 671 
фиксированная граница адреса 405 
фильтр 

пользовательский 325, 354 

тонкопленочный 276 
фильтрация 

кадра 323 

понятие 864 
флаг пакета 433 
формирование трафика 166 
формула 

Найквиста 206 

Фурье 217 

Шеннона 206 
фотонный коммутатор 280 
фотонный уровень 253 
фрагментация 458 
фрейм 404 
фронт 220 
функция 

односторонняя 826 


Фурье формула 217 


Х 
хаб 318 


характеристики 
задержек пакетов 139 
сети 
долговременные 135 
краткосрочные 135 
производительность 138 
среднесрочные 135 
Хемминга расстояние 231 
хоп 436 
хорошо известный номер порта 469 
хост 401 
хэш-функция 832 


Алфавитный указатель 


Ц 


ЦАП 232 
центр 

обмена трафиком 590 

сертификации 845 
централизованная справочная служба 46 
централизованное сетевое приложение 51 
централизованный режим 709 


централизованный способ назначения 
адреса 312 


центральный офис 587 
цепь 254 
циклический избыточный контроль 230 
цифро-аналоговый преобразователь 232 
цифровая иерархия 
плезиохронная 248 
синхронная 248 
цифровая линия связи 188 
цифровой сертификат 845 


Ч 


частная линия Ефегпее 657 
частная сеть 584 
частный адрес 410, 880 
частота 
несущая 314 
сверхвысокая 672 
сверхнизкая 672 
частотная манипуляция 226 
частотная модуляция 228, 231 
частотное мультиплексирование 188, 234 
частотное разделение 69 
частотное уплотнение 235 
частотный план 274 
червь сетевой 935 


четырехуровневая частотная манипуляция 


228 
чип 691 
числовой адрес 59 


Ш 
Шеннона формула 206 


ширина спектра сигнала 190 
широковещательная рассылка 408 
широковещательное радио 672 
широковещательное сообщение 408 


широковещательный адрес 59, 312, 408, 


445 
широковещательный шторм 324, 409 
шифрование 

понятие 822 


с помощью односторонней функции 
826 


шлюз 
безопасности 925 
внешний 507 
понятие 401 

шлюзовой протокол 
внешний 508 
внутренний 508 
пограничный 508, 509 

шпионская программа 814 


Э 


экранированная витая пара 186, 207 
эластичный трафик 152 
электрическая связь 201 
элементарный канал 75, 76, 233 
Эрикссон Ларс Магнус 670 
эстафетная передача 723 
эхо-запрос 466 

эхо-ответ 466 

эхо-протокол 466 


язык разметки гипертекста 768 
ячейка 611 
ячеистая топология 58, 255, 280 
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ИЗДАТЕПЬСКИЙ ДОМ 


РЕПИТЕР` 


ТТ Р!ТЕЯ. СОМ 


ВАША УНИКАЛЬНАЯ КНИГА 


Хотите издать свою книгу? Она станет идеальным подарком для партнеров 

и друзей, отличным инструментом для продвижения вашего бренда, презентом 
для памятных событий! Мы сможем осуществить ваши любые, даже самые 
смелые и сложные, идеи и проекты. 


у ПРЕДЛАГАЕМ: 


издать вашу книгу 
• издание книги для использования в маркетинговых активностях 
• книги как корпоративные подарки 
• рекламу в книгах 
• издание корпоративной библиотеки 


Почему надо выбрать именно нас: 


Издательству «Питер» более 20 лет. Наш опыт – гарантия высокого качества. 


Мы предлагаем: 


• услуги по обработке и доработке вашего текста 

• современный дизайн от профессионалов 

• высокий уровень полиграфического исполнения 

• продажу вашей книги во всех книжных магазинах страны 


Обеспечим продвижение вашей книги: 


рекламой в профильных СМИ и местах продаж 
рецензиями в ведущих книжных изданиях 
• интернет-поддержкой рекламной кампании 


Мы имеем собственную сеть дистрибуции по всей России, а также на Украине 
и в Беларуси. Сотрудничаем с крупнейшими книжными магазинами. 

Издательство «Питер» является постоянным участником многих конференций 
и семинаров, которые предоставляют широкую возможность реализации книг. 


Мы обязательно проследим, чтобы ваша книга постоянно имелась в наличии 
в магазинах и была выложена на самых видных местах. 


Обеспечим индивидуальный подход к каждому клиенту, эксклюзивный дизайн, 
любой тираж. 


Кроме того, предлагаем вам выпустить электронную книгу. Мы разместим 
ее в крупнейших интернет-магазинах. Книга будет сверстана в формате еРиБ 
или РОЕ — самых популярных и надежных форматах на сегодняшний день. 


Свяжитесь с нами прямо сейчас: 


Санкт-Петербург - Анна Титова, (812) 703-73-73, {іќоуа@ріѓег.сот 
Москва - Сергей Клебанов, (495) 234-38-15, КІебапоу@ріќег.сот 


КНИГА -ПОЧТОЙ 


ЗАКАЗАТЬ КНИГИ ИЗДАТЕЛЬСКОГО ДОМА «ПИТЕР» 
МОЖНО ЛЮБЫМ УДОБНЫМ ДЛЯ ВАС СПОСОБОМ: 
• на нашем сайте: ммм.ріќег.сот 
• по электронной почте: Боокѕ(ріќег.сот 
• по телефону: (812) 703-73-74 


ВЫ МОЖЕТЕ ВЫБРАТЬ ЛЮБОЙ УДОБНЫЙ ДЛЯ ВАС СПОСОБ ОПЛАТЫ: 


Наложенным платежом с оплатой при получении в ближайшем 
почтовом отделении. 


(К) 


С помощью банковской карты. Во время заказа вы будете 


перенаправлены на защищенный сервер нашего оператора, где сможете 
ввести свои данные для оплаты. 


(6) 


Электронными деньгами. Мы принимаем к оплате Яндекс.Деньги, 
М/ебтопеу и Оімі-кошелек. 


(6) 


В любом банке, распечатав квитанцию, которая формируется 
автоматически после совершения вами заказа. 


(6) 


ВЫ МОЖЕТЕ ВЫБРАТЬ ЛЮБОЙ УДОБНЫЙ ДЛЯ ВАС СПОСОБ ДОСТАВКИ: 


• Посылки отправляются через «Почту России». Отработанная 
система позволяет нам организовывать доставку ваших покупок 
максимально быстро. Дату отправления вашей покупки и дату 

доставки вам сообщат по е-тай. 


• Вы можете оформить курьерскую доставку своего заказа (более 
подробную информацию можно получить на нашем сайте ммм.ріќег.сот). 


• Можно оформить доставку заказа через почтоматы, (адреса почтоматов 
можно узнать на нашем сайте млм. рКег.сот). 


ПРИ ОФОРМЛЕНИИ ЗАКАЗА УКАЖИТЕ: 
• фамилию, имя, отчество, телефон, е-тай; 


• почтовый индекс, регион, район, населенный пункт, улицу, дом, 
корпус, квартиру; 


• название книги, автора, количество заказываемых экземпляров. 


БЕСПЛАТНАЯ ДОСТАВКА: • курьером по Москве и Санкт-Петербургу 
при заказе на сумму от 2000 руб. 


почтой России при предварительной оплате 
заказа на сумму от 2000 руб. 


БИЛЕЙ НОЕ — 
ИЗДАНИЕ | 


КОМПЬЮТЕРНЫЕ СЕТИ 
ПРИНЦИПЫ, ТЕХНОЛОГИИ, ПРОТОКОЛЫ 


«Это издание в некотором смысле особенное – прошло ровно 20 лет с момента 
выхода книги в свет. 20 лет – это немаленький срок, за это время дети наших первых 
читателей подросли и, возможно, стали интересоваться компьютерными сетями. 
Возможно, у них в руках окажется 6-е издание книги «Компьютерные сети. 
Принципы, технологии, протоколы». Эта книга значительно отличается от той, 
которую читали их родители. Многое из того, что интересовало читателей конца 
90-х годов – например, правило 4-х хабов, согласование сетей ІР и ІРХ или сравнение 
технологий 100Уб-АпуЁАМ и ЕР0І, – совсем не упоминается в последних изданиях. 
За 20 лет немало технологий прошли полный цикл от модного термина и всеобщего 
признания к практически полному забвению. Каждое новое издание книги 
в той или иной мере отражало изменения ландшафта сетевых технологий. 


Не является исключением и данное издание – оно значительно переработано, около 
трети материала представляет собой или совсем новую информацию, или суще- 
ственно переработанное изложение тем. Например, в книге появилась новая часть 
"Беспроводные сети", полностью переработана часть, посвященная технологиям 
первичных сетей 5н, ОТМ и ВИ/ОМ». 


Издание предназначено для студентов, аспирантов и технических е ВИ КТ) 0 
специалистов, которые хотели бы получить базовые знания о прин- () р Л И ФЕ р 
ципах построения компьютерных сетей, понять особенности традицион- 

ных и перспективных технологий локальных и глобальных сетей, изучить | Д ТАЛ Ы 0) И ФЕ р 


способы создания крупных составных сетей и управления такими сетями. 


Рекомендовано Министерством образования и науки Российской Федерации в качестве 
учебного пособия для студентов высших учебных заведений, обучающихся по направлению 
«Информатика и вычислительная техника» и по специальностям «Вычислительные машины, 
комплексы, системы и сети», «Автоматизированные машины, комплексы, системы и сети», 
«Программное обеспечение вычислительной техники и автоматизированных систем». 
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